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18/03/2009  Antivirus  y  falsos  positivos...  un  desmadre 

25/03/2009  Routers,  modems  y  botnets 

02/04/2009  Exitos  y  fracasos  de  Conficker 

21/06/2009  Protegiendonos  de  las  soluciones  de  seguridad 


Prologo  a  la  edicion  anterior 


'S' 


Hace  un  ano,  por  estas  mismas  fechas  cumpliamos  10  anos,  motivo  por  el  cual  nos  embarcabamos 
en  el  apasionante  reto  de  la  publication  de  un  libro  que  recogiera  todo  lo  acontecido  en  esos  10  anos,  en 
el  mundo  de  la  seguridad  informatica.  A  la  larga  el  proyecto  se  convirtio  en  algo  mucho  mas  ambicioso, 
dando  como  resultado  un  magnifico  volumen  en  el  que  se  hacia  un  recorrido  por  10  anos  de  historia,  de 
informatica,  de  seguridad  informatica,  de  curiosidades  sobre  Hispasec  y  se  complementaba  con  un  buen 
numero  de  entrevistas  a  personas  relevantes  de  nuestro  sector. 


Ha  transcurrido  un  ano  mas,  por  lo  que  si  Pitagoras  no  falla  ahora  cumplimos  n  anos,  un  numero  menos 
redondo  pero  no  por  ello  menos  importante.  De  una  forma  mucho  mas  silenciosa,  pasando  desapercibida, 
hace  pocos  dias  enviabamos  la  “una  al  dia”  numero  4.000.  Para  no  sobrecargar  a  nuestros  lectores  con 
multiples  avisos  y  celebraciones  de  aniversario  preferimos  juntar  todo  en  una  unica  fecha. 


Por  todo  ello,  editamos  ahora  una  nueva  version  de  nuestro  libro,  con  una  revision  y  ampliation  para 
cubrir  todo  lo  acontecido  durante  este  ultimo  ano,  para  ademas  publicarlo  en  formato  digital. 


Este  ultimo  ano  no  ha  estado  exento  de  grandes  retos  y  emociones  para  Hispasec  Sistemas.  La  concesion 
del  “Trofeo  Extraordinario  del  Jurado”  dentro  de  los  “Trofeos  de  la  Seguridad  TIC  2008”  de  la  revista  Red 
Seguridad,  la  cada  vez  mayor  repercusion  de  VirusTotal  internacionalmente,  la  ampliation  de  recursos 
en  VirusTotal,  la  ampliation  de  nuestro  laboratorio  tecnico  o  nuestra  participation  como  miembros 
fundadores  del  Consejo  National  Consultivo  de  CiberSeguridad... 


Aun  con  todo,  el  prologo  que  tuve  ocasion  de  escribir  el  ano  pasado  sigue  totalmente  vigente  por  lo  que 
antes  de  ofrecer  la  introduction  del  pasado  ano,  no  me  queda  mas  que  reiterar  el  agradecimiento  a  todos 
los  que  hicieron  y  han  hecho  posible  Hispasec  y  este  libro,  a  los  amigos,  lectores,  integrantes  y  clientes  de 
Hispasec. 


Antonio  Ropero 
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Introduction 


Hace  diez  anos  no  habia  mucha  informacion  sobre  seguridad  informatica  que  fuera  mas  alia  de  los  virus 
del  momento.  Internet  tampoco  estaba  muy  implantado  en  la  sociedad  como  ocurre  en  la  actualidad. 
Sin  embargo  hace  diez  anos,  hablando  por  IRC  con  Bernardo,  me  dijo  algo  asi  como  “apuesto  a  que  hay 
suficiente  material  sobre  seguridad  como  para  sacar  una  noticia  todos  los  dias”.  No  me  sorprendio. 

En  aquella  epoca  yo  trabajaba  en  la  revista  PC  Actual  y  Bernardo  era  colaborador  externo.  Soliamos 
redactar  juntos  articulos  sobre  temas  de  seguridad,  comparativas  antivirus,  y  similares.  Asi  que  escribir 
sobre  informatica,  o  en  concreto  sobre  seguridad  informatica,  no  nos  resultaba  raro  ni  complicado. 

Bernardo  escribio  ese  mismo  dia  la  primera  noticia y  la  envio  a  un  pequeno  grupo  de  amigos  y  companeros. 
El  reto  propuesto  por  Bernardo  me  parecio  una  gran  idea,  ademas  tenia  claro  que  era  totalmente  factible, 
asi  que  me  propuse  ayudarle  con  otra  noticia.  Los  dos  primeros  dias,  Bernardo  envio  su  noticia,  pero  al 
tercero  envio  la  que  habia  escrito  yo.  Poco  a  poco,  se  convirtio  en  algo  habitual,  entre  los  dos  y  sin  darnos 
apenas  cuenta  habiamos  conseguido  mantener  el  ritmo  diario. 

De  esa  forma  tan  espontanea  nacio  una-al-dia  y  el  proyecto  empezo  a  tomar  forma  y  a  ampliarse.  Habiamos 
conseguido  mantener  la  regularidad  dia  a  dia,  y  cada  vez  era  mas  gente  la  que  nos  pedia  que  le  anadiesemos 
a  la  lista  de  los  que  recibian  la  noticia.  En  las  primeras  semanas  del  proyecto  tambien  se  unieron  Antonio 
Roman  y  Jesus  Cea,  de  forma  que  lo  que  hoy  es  Hispasec  empezo  a  convertirse  en  realidad.  Trabajamos  en 
un  diseno  y  dos  meses  despues,  a  finales  de  1998,  nacia  el  portal  de  Hispasec. 

Cada  dia  se  apuntaba  mas  gente  y  en  pocos  meses  ya  contabamos  con  miles  de  subscriptores.  Con  el  tiempo, 
la  aceptacion  del  servicio  credo  hasta  sobrepasar  los  40.000  suscriptores  diarios  directos,  y  sobre  todo, 
comenzamos  a  ser  reconocidos  como  una  fuente  de  informacion  rigurosa  sobre  seguridad  informatica  con 
un  caracter  tecnico  y  total  independencia  de  terceros. 

Hispasec  habia  nacido  como  un  reto  desinteresado,  sin  ninguna  pretension  economica  ni  empresarial, 
pero  la  demanda  de  los  propios  usuarios  y  lectores  hizo  que  el  proyecto  se  afianzara  y  dos  anos  mas  tarde 
nacio  Hispasec  Sistemas.  Una  empresa  creada  y  gestionada  por  los  cuatro  fundadores  de  Hispasec,  con  el 
mismo  caracter  con  el  que  habia  nacido  una-al-dia.  Es  decir,  una  empresa  de  marcado  caracter  tecnico, 
sin  capital  externo,  total  independencia  de  intereses  ajenos  y  pensando  en  seguir  ofreciendo  servicios  a  la 
comunidad. 

Desde  un  primer  momento  Hispasec  se  vio  envuelta  en  continuos  proyectos,  mejoras  y  crecimiento.  Pero 
aun  con  la  gestion  empresarial  de  por  medio,  siempre  hemos  mantenido  nuestra  primera  idea  de  ofrecer 
servicios  gratuitos  que  sirvan  para  mejorar  la  seguridad  e  informacion  de  la  comunidad:  una-al-dia, 
CheckDialer,  informes  tecnicos,  VirusTotal  y  su  VTUploader,  y  muchos  otros.  Y  esperamos,  con  la  ayuda 
de  todos,  poder  seguir  haciendolo  durante  mucho  tiempo  mas. 

Mas  de  3.650  una-al-dia  publicadas  hasta  la  actualidad,  seleccionar  un  grupo  de  ellas  (86  en  concreto)  es 
un  dificil  reto.  f.Quc  criterios  seguir  para  la  selection?  No  quiere  decir  que  sean  las  mejores  noticias  del 
ano,  ni  las  que  mas  repercusion  hayan  tenido.  Seguramente  nuestros  lectores  mas  habituales  recuerden 
alguna  en  especial  que  no  aparezca.  Una  labor  de  selection  complicada,  realizada  pensando  en  tratar  de 
ofrecer  una  vision  global  de  la  seguridad  en  el  ano  concreto. 

Pero  hemos  querido  ir  mucho  mas  lejos.  Este  libro,  no  es  solo  una  selection  de  las  una-al-dia  publicadas.  El 
estupendo  trabajo  realizado  por  Sergio  de  los  Santos  permite  tener  una  idea  general  del  estado  del  mundo 


2 


Una  al  dia.  Once  anos  de  seguridad  informatica 


en  sus  aspectos  mas  globales  (politica,  sociedad,  etc.),  de  la  informatica  y  concretamente  de  la  seguridad 
informatica.  Permite  recapitular  los  detalles  mas  relevantes  de  cada  ano,  recordar  sucesos  ya  olvidados, 
y  englobar  cada  ano  en  su  contexto.  Para  ello,  en  cada  uno  de  los  once  capitulos  en  que  se  estructura  este 
libro,  se  realiza  un  breve  recordatorio  de  los  hechos  sociales,  politicos,  economicos  del  ano,  y  un  repaso  de 
datos  y  sucesos  mas  relevantes  en  relacion  con  la  seguridad  informatica. 

Ademas  cada  capitulo  se  ve  complementado  con  una  entrevista  a  diez  personajes  representativos  de  la 
seguridad  informatica  en  Espana  y  en  el  mundo.  Bernardo  Quintero  se  ha  encargado  de  formular  unas 
interesantes  preguntas  a  Bruce  Schneier,  Kaspersky,  Cuartango,  Mikel  Urizarbarrena,  Jorge  Ramio,  Merce 
Molist,  Juan  Salom,  Hector  Sanchez  Montenegro  y  Johannes  Ullrich.  Todos  ellos  dan  su  vision  sobre  la 
seguridad  informatica,  como  ha  cambiado  o  evolucionado  a  lo  largo  de  estos  ultimos  diez  anos,  que  nos 
depara,  o  como  ha  sido  su  relacion  con  Hispasec.  Nuestro  mas  sincero  agradecimiento  a  todos  ellos  por  su 
colaboracion  en  este  proyecto. 

Los  mas  fieles  seguidores  de  una-al-dia,  que  nos  consta  que  los  hay,  tambien  encontraran  mfiltiples 
curiosidades  a  lo  largo  del  libro.  Hemos  rebuscado  en  los  cajones,  en  copias  de  seguridad  ya  olvidadas, 
en  carpetas  olvidadas  en  discos  duros  y  entre  los  mensajes  mas  antiguos  para  ofrecer  datos  y  fotografias 
nunca  antes  revelados  ni  publicados  sobre  Hispasec. 

En  estos  10  anos  todos  hemos  sufrido  muchos  cambios,  y  este  libro  bien  refleja  todos  ellos,  tanto  en  la 
sociedad  como  en  el  mundo  de  la  informatica.  A  modo  de  reflexion,  se  podria  decir  que  en  muchos  aspectos 
la  seguridad  informatica  ha  cambiado  bien  poco.  Para  muchas  empresas  sigue  siendo  una  carga,  y  muchas 
otras  no  ven  la  necesidad  de  invertir  en  seguridad  hasta  que  no  ven  las  “orejas  al  lobo”.  Por  otra  parte, 
el  eslabon  mas  debil  en  la  cadena  de  la  seguridad  informatica  sigue  siendo  el  usuario.  En  eso  no  hemos 
cambiado. 

Solo  me  queda  aprovechar  la  ocasion  para  agradecer  a  todos  los  que  en  algun  momento,  de  una  forma  u  otra, 
han  dado  lugar  a  que  el  espontaneo  proyecto  original  se  haya  convertido  en  la  actual  Hispasec.  Bien  por  su 
aportacion,  confianza,  ensenanzas  o  sugerencias  e  incluso  criticas.  A  PC  Actual  (y  todos  sus  integrantes),  a 
los  subscriptores  de  una-al-dia,  a  todos  los  que  hayan  leido  alguna  de  nuestras  informaciones,  companeros, 
clientes,  a  los  usuarios  de  cualquiera  de  nuestros  servicios. 

Muy  especialmente  a: 

Francisco  Santos,  Julio  Canto,  Sergio  de  los  Santos,  Eusebio  del  Valle,  Giorgio  Talvanti,  Xavier  Caballe, 
Sergio  Hernando,  Javier  Labella,  Santos  Herranz,  Esther  de  Pazos,  Karim  Adolfo  Bouhlala,  Moritz 
Konstantin  Meurer,  Pablo  Molina,  David  Garcia,  Emiliano  Martinez,  Michael  Skladnikiewicz,  Alberto 
Garcia,  Pawel  Janie,  Alejandro  Bermudez,  Manuel  Castillo,  Victor  Manuel  Alvarez,  Marcin  Noga,  Matthew 
Jurczyk,  Maria  del  Carmen  Padilla,  Christian  Soto,  Rafael  Fuentes,  Jacob  Fernandez,  Carlos  Boni,  Victor 
Torre,  David  Reguera,  Alejandro  Gomez,  Jose  Ignacio  Palacios... 


...y  todos  los  que  lo  han  hecho  realidad. 


Antonio  Ropero:  Socio  fundador  de  Hispasec 
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Capitulo 


©  Bluetooth 
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883612800  -  915148799 


Durante  este  ano... 


_  El  ano  comienza  con  el  fenomeno  meteorologico  de  El  Nino  en  todos  los  informativos. 

Las  tormentas  causadas  azotan  el  norte  de  America  y  meses  mas  tarde,  se  cebaria  en 
Florida  con  una  nueva  ola  de  tornados.  El  nombre  de  “El  Nino”  viene  de  “El  nino  Jesus” 
por  anunciarse  habitualmente  en  la  epoca  de  Navidad  en  la  costa  oeste  de  America  del  Sur.  Aunque  los 
efectos  de  este  fenomeno  ya  se  descubrieron  en  1923,  fue  mundialmente  conocido  durante  ese  ano. 

_  La  pelicula  Titanic,  estrenada  el  ano  anterior,  gana  11  premios  de  la  Academia  (Oscars).  James  Cameron 
consigue  asi  un  rotundo  exito  de  taquilla  tras  Terminator  2  en  1991.  El  director  redo  casi  consecutivamente 
dos  de  las  peliculas  mas  caras  de  la  historia:  Terminator  2  y  Titanic.  Terminaron  por  ser  tan  caras  como 
rentables. 

_  En  marzo  se  descubre  que  Galileo,  la  sonda  enviada  al  espacio,  ha  recopilado  datos  que  indican  que  la 
luna  Europa  del  planeta  Jupiter  podria  disponer  de  un  oceano  liquido  bajo  una  capa  de  hielo. 

_  La  administration  americana  aprueba  la  Viagra  como  medicamento  para 
tratar  la  impotencia.  Esta  pastilla  se  convertiria  en  un  pequeno  milagro  azul 
para  miles  de  hombres  y  mas  tarde,  en  un  potente  reclamo  en  el  correo  basura. 

Su  precio  es  elevado,  y  existen  decenas  de  farmacias  clandestinas  en  Internet 
destinadas  a  la  production  (de  forma  legal  0  no).  En  ocasiones  se  trata  de  una 
estafa,  en  otras  permiten  adquirirla  de  forma  barata  y  anonima.  El  correo  basura, 
durante  mucho  tiempo,  tendria  en  la  Viagra  (y  todas  sus  variantes  ortograficas 
posibles)  su  mayor  aliado. 

_  El  25  de  abril  se  rompe  la  presa  de  contention  de  la  balsa  de  la  mina  de  pirita  en  Aznalcollar  (Sevilla). 
Se  vierte  agua  acidaylodos  muy  toxicos  en  100  kilometres  cuadrados,  constituyendo  un  gravisimo  desastre 
ecologico  que  afecta  a  la  reserva  del  Coto  de  Donana.  Las  organizaciones  ecologicas  pregonan  que  era  un 
desastre  anunciado,  y  hoy  dia  siguen  diciendo  que  es  posible  que  vuelva  a  ocurrir.  La  causa  penal  seria 
archivada  en  2001.  Diez  anos  despues  no  se  ha  castigado  a  ningun  responsable  del  desastre. 

_  Eurovision,  el  festival  caduco  y  desfasado  (que  sufriria  una  revitalization  en  2001  gracias  a  Operation 
Triunfo)  nombra  a  un  transexual  como  ganadora,  Dana  International.  A  pesar  de  su  efimera  fama,  la 
artista  lleva  14  anos  trabajando. 

_  Se  acunan  ya  las  primeras  monedas  de  Euro,  tras  un  primer  intento  de  introduction  del  ECU  como 
moneda  “abstracta”.  Las  especificaciones  finales  no  fueron  emitidas  hasta  finales  de  ano,  con  los  que  todas 
estas  primeras  monedas  tendrian  que  ser  fundidas  y  vueltas  a  hacer  en  1999. 

_  Charlton  Heston  se  convierte  en  presidente  de  la  controvertida  National  Rifle  Association 
(Asociacion  Nacional  del  Rifle),  una  organization  que  defiende  el  derecho  libre  de  la  tenencia  de  armas  de 
fuego.  En  2003  Michael  Moore  le  haria  participe  involuntariamente  de  su  pelicula- documental  Bowling 
for  Columbine.  Aunque  Moore  consiguio  un  importante  golpe  de  efecto,  tambien  seria  criticado  por 
“manipular”  a  Heston.  El  actor  moriria  en  2008  victima  de  una  enfermedad  degenerativa.  Defendio  la 
igualdad  de  derechos  civiles  entre  blancos  y  negros  en  Estados  Unidos  durante  los  anos  60. 
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_  En  el  mundial  de  futbol  de  Francia  de  ese  ano,  Espana  no  pasa  ni  a  octavos.  Es  derrotada  en  la 
primera  fase  contra  Bulgaria,  Paraguay  y  Nigeria.  Pasarian  diez  anos  para  que  se  resarciese  y  ganara  la 
copa  de  Europa  de  2008. 

_  Durante  todo  el  ano,  el  escandalo  de  Bill  Clinton  y  Monica  Lewinsky  esta  en  su  mayor  apogeo. 
Nunca  una  felacion  habia  proporcionado  tanto  redito.  Los  primeros  rumores  e  informaciones  sobre  este 
asunto  fueron  volcadas  en  Internet.  A1  parecer  la  becaria  de  la  Casa  Blanca,  de  25  anos  entonces,  habia 
mantenido  “relaciones  sexuales”  con  el  presidente  de  Estados  Unidos  (Clinton  sostuvo  durante  mucho 
tiempo  que  no  mantuvo  relaciones  con  esa  mujer,  por  no  considerar  el  “sexo  oral”  como  una  “relation”). 
Matt  Drudge,  responsable  de  la  pagina  “The  Drudge  Report”,  fue  el  primero  en  difundir  el  escandalo, 
que  costo  algun  tiempo  publicar  en  medios  serios  por  la  “gravedad”  del  asunto.  Monica  publicaria  muy 
poco  despues,  en  1999,  un  libro  llamado  “Monica’s  Story”,  una  biografia  autorizada  en  la  que  detallaba  su 
affair  con  Bill  Clinton.  Hoy  tiene  su  propio  negocio  y  vende  su  propia  marca  de  bolsos,  ademas  de  aparecer 
ocasionalmente  en  programas  de  television. 

_  El  britanico  Kevin  Warwick  realiza  las  primeras  pruebas  de  implantacion 
de  RFID  (Radio -frequency  identification)  en  humanos,  insertando  un  chip  en 
su  propio  brazo.  RFID  es  una  tecnologia  destinada  a  identificar  cualquier  objeto 
0  animal  a  traves  de  un  dispositivo  equipado  con  una  antena  y  un  chip  que 
almacena  informacion.  Da  pie  a  un  abierto  debate  sobre  el  asalto  a  la  intimidad 
que  podria  suponer  la  identification  de  personas  y  los  posibles  problemas  de 
seguridad  que  sufriria  el  protocolo  o  la  implementation.  Es  considerado  un 
serio  atentado  contra  la  privacidad.  Se  le  llega  a  llamar  “codigo  de  barras  para 
humanos”.  En  Florida,  una  familia  entera  (los  Jacbos)  se  implantarian  chips 
RFID  en  febrero  de  2002.  Su  intention  seria  la  de  almacenar  en  ellos  informacion  medica  importante 
que  pudiera  ayudarles  o  prevenir  problemas  de  contraindicaciones  con  medicamentos  en  situaciones  de 
emergencia. 

_  El  Reino  Unido  se  despide  parcialmente  de  la  pena  de  muerte.  Se  ratified  asi  la  convention  de 
Derechos  Humanos  prohibiendo  la  pena  de  muerte  excepto  en  “tiempos  de  guerra  o  inminente  amenaza 
de  guerra”.  Dejando  una  puerta  abierta  para  aplicar  el  castigo.  Habria  que  esperar  a  febrero  de  2004  para 
que  quedase  prohibida  definitivamente  bajo  todas  las  circunstancias. 


A  mediados  de  1998,  la  configuracion  estandarde  un  sistema  podia  ser: 


Y  pagar  270.000  pts  (mas  de  1.600  euros)  por  ella.  Por  10.000  ptas.  mas  (60  euros)  se  podria 
tener  el  sistema  con  DVD.  Y  por  unas  20.000  ptas.  mas  (120  euros)  un  procesador  a  400  Mhz. 
Una  grabadora  de  CD  de  doble  velocidad  lo  encarecia  en  50.000  ptas.  (300  euros).  Si  se 
queria  equipar  al  sistema  con  una  unidad  ZIP  externa  de  2  gigas,  podia  costar  85.000  pts. 
(500  euros). 

Tambien  se  podian  comprar  sistemas  de  gama  baja,  con  procesadores  Celeron  con  32 
megas  de  RAM,  disco  duro  de  2  gigabytes  y  monitor  de  14  pulgadas  por  130.000  ptas. 
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(unos  800  euros).  Esta  misma  configuracion  en  un  portatil,  rozaba  las 
300.000  ptas.  (1.800  euros)  y  podia  pesar  mas  de  3  kilos.  Aun  con  estos 
precios,  en  el  primer  trimestre  de  1998  se  bate  un  record  y  se  veden  233.000 
ordenadores.  Una  configuracion  parecida  pero  con  conexion  Ultra/Wide 
SCSI  y  de  marca  DELL  podia  salir  por  500.000  pts  (3.000  euros). 


_  En  octubre  American  Airlines  se  convierte  en  la  primera  linea  aerea  en  ofrecer  billetes  electronicos 
en  44  paises  a  traves  de  su  pagina  aa.com.  Rapidamente  el  sistema  es  adoptado  y  hoy  la  mayoria  de  los 
billetes  han  dejado  de  ser  fisicos. 

_  Pokemon  llega  a  Estados  Unidos.  Tardaria  varios  anos  mas  en  llegar  a  Espana 
y  convertirse  en  un  fenomeno  en  videojuegos,  television  y  todo  tipo  de  productos  de 
marketing.  160  millones  de  juegos  vendidos  hasta  la  fecha  avalan  el  exito  comercial  de 
una  imagen  reconocida  en  todo  el  mundo  con  solo  12  arios  de  vida  (fue  creado  en  1996). 

_  En  febrero  de  1998,  XML  1.0  se  convierte  en  una  recomendacion  de  la  W3C.  Su  diseno  comenzo  dos 
anos  antes.  XML  se  convertiria  desde  entonces  en  un  estandar  ampliamente  aceptado  y  de  gran  exito  entre 
programadores.  XML  tiene  sus  raices  en  un  lenguaje  de  IBM  de  los  setenta,  llamado  GML  (Generalized 
Markup  Language),  que  surgio  de  la  necesidad  de  IBM  de  almacenar  grandes  cantidades  de  informacion. 
En  1986  ISO  comenzo  a  trabajar  para  normalizarlo,  creando  SGML,  que  sentaria  las  bases  de  XML.  A 
principios  de  1998,  solo  un  1%  de  paginas  usan  XML.  Para  cuando  acabase  el  ano  ya  sedan  un  16%. 

_  En  1997  Network  General  y  McAfee  Associates  se  funden  en  Network  Associates,  que  a  su  vez  en  1998 
compran  (por  640  millones  de  dolares)  Dr.  Solomon’s.  Dr.  Solomon’s  Antivirus  Toolkit  era  lider  europeo  en 
Antivirus  y  se  podia  comprar  por  37.000  pts  (220  euros).  Mas  tarde  todo  quedaria  bajo  la  marca  McAfee. 

_  Para  conectarse  a  Internet,  un  modem  de  33600  bps.  puede  costar  10.000  pts  (60  euros).  Una  camara 
digital  Casio  de  1.3  megapixeles,  con  8  megas,  capaz  de  grabar  peliculas  de  hasta  6.4  segundos, 
cuesta  109.000  pts.  (mas  de  600  euros). 

_  Nace  Red2000  un  canal  tematico  de  informatica  en  Via  Digital  (que  en  2003  se  fusionaria  con  su 
principal  rival  Digital+).  Se  une  asi  al  canal  C:  que  comenzo  a  emitir  en  1997. 

_  Nicholas  Negroponte,  guru  tecnologico,  vaticina  que:  “En  cinco  anos  [a  partir  de  1998,  se  entiende] 
la  gente  delegara  en  agentes  la  tarea  de  navegar  por  Internet.  Pero  el  comercio  electronico  movera  billones 
de  dolares  y  los  sistemas  de  pago  se  diversificaran,  creandose  nuevas  monedas  basadas  en  bits.  Todas  las 
cosas  que  nos  rodean  tendran  una  direction  IP,  con  lo  que  se  generara  informacion  propia  que  servira  para 
que  la  intervention  de  los  intermediaries  desaparezea”.  Dehnio  el  correo  basura  como  el  enemigo  numero 
uno  del  comercio  electronico. 

_  Augusto  Pinochet  es  detenido  en  Londres  por  orden  de  Baltasar  Garzon. 

_  El  ultimo  minuto  de  1998  dura  61  segundos.  Se  introduce  un  “leap  second”  o  “segundo  bisiesto” 
que  alarga  el  dia  en  un  segundo.  Es  un  ajuste  parecido  al  que  se  realiza  con  los  anos  bisiestos,  pero  que  solo 
anade  un  segundo  para  compensar  las  pequenas  diferencias  entre  el  ritmo  de  la  rotation  de  la  Tierra  con  la 
escala  de  tiempo  UTC  (Coordinated  Universal  Time).  La  Tierra  gira  a  un  ritmo  que  decrece  continuamente, 
con  una  desaceleracion  pequena  y  conocida.  Por  el  contrario,  el  tiempo  es  medido  a  traves  de  relojes 
atomicos  muy  precisos  que  son  estables.  Se  desfasan  cada  cierto  tiempo  y  hay  que  corregirlos  para  que 
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la  hora  “solar”  y  la  hora  medida  por  los  humanos  sigan  parejas.  Existe  la  alternativa  de  dejar  pasar  esos 
segundos  y  anadir  un  dla  extra  cada  varios  siglos,  pero  desde  1972  se  viene  haciendo  regularmente  (casi 
todos  los  anos  de  la  decada  de  los  70)  y  cada  varios  anos  actualmente.  A1  ultimo  dia  de  de  2005  y  de  2008 
tambien  se  le  anadira  un  segundo. 

_  En  la  una-al-dia  de  23  de  noviembre,  “Incompatibilidad  entre  K6-2  de  AMD  y  Windows  95”  se 

incluye  por  primera  vez  la  cabecera  en  cada  correo  enviado: 


HISPASEC  una  al  dia  (23/11/98) 

Todos  los  dias  una  noticia  de  seguridad 


en  junio  de  2000  se  cambiaria  a  la  actual  que  se  mantendria  hasta  hoy. 


Hispasec  -  una-al-dia  18/06/2000 

Todos  los  dias  una  noticia  de  seguridad  www.hispasec.com 


Seguridad  Informatica 
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En  junio,  lo  que  Microsoft  llamaba  internomente  Proyecto  Memphis  se 
convierte  en  Windows  98,  uno  de  los  sistemas  operativos  mas  esperados  tras 

el  bombazo  de  Windows  95  (englobado  en  el  proyecto  Chicago  pero 
sin  todo  lo  que  se  esperaba  de  el.  “Chicago"  todavia  se  puede  ver  en 
los  archivos  de  configuracion  de  los  sistemas  actuales).  Windows  98  no 
supone  una  ruptura  total  con  lo  que  venia  siendo  el  sistema  operativo 
Microsoft  de  la  compahia  (MS-DOS  6.2,  su  ultima  edicion)  pero  si  que  resulta  en 

Windows98  una  interesante  revision  de  Windows  95. 


En  abril,  en  el  Comdexse  produce  una  anecdota  muy  sonada.  Bill  Gates  presenta  su  sistema 
operativo  Windows  98  y  sus  virtudes.  En  el  momento  de  de  hablar  de  su  funcionalidad  Plug 
and  Play  (PnP),  Chris  Capossela  enchufa  un  escaner  en  el  ordenador  para  comprobar 
como  lo  reconoce.  El  sistema  se  paraliza  al  intentar  instalar  el  dispositivo  y  muestra  la  BSOD 
(pantallazo  azul  de  la  muerte).  Tras  los  vitores,  risas  y  aplausos  del  publico,  Gates  dice  “That 
must  be  why  we’re  not  shipping  Windows  98  yet."  El  video  esta  disponible  en  YouTube. 

Las  diferencias  en  cuestion  de  seguridad  con  Windows  95  son  nulas:  los  dos  carecen  casi 
por  completo  de  funcionalidades  de  seguridad.  La  fama  negra  de  Microsoft  se  agranda  a 
pasos  agigantados  y  le  perseguiria  a  pesar  de  sus  esfuerzos.  Su  exito  seria  tal  que  Microsoft 
mantendria  el  soporte  del  sistema  operativo  hasta  el  1 1  de  julio  de  2006. 


_  Sin  duda,  es  el  ano  de  “Estados  Unidos  contra  Microsoft”.  La  compama  es  acusada  ante  los 
tribunales,  alegando  que  Microsoft  esta  abusando  de  su  poder  monopolistico  para  vender  su  navegador 
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junto  con  su  sistema  operativo  Windows  98.  Microsoft  incrusto  de  forma  inseparable  su  Internet  Explorer 
con  su  Windows  98,  y  esto  es  tachado  de  juego  sucio  por  parte  de  toda  la  comunidad.  Para  obtener 
Internet  Explorer  con  su  anterior  sistema  operativo,  habia  que  instalarlo  como  una  aplicacion  mas,  pero 
en  Windows  98  viene  de  serie  y  no  hay  forma  oficial  de  eliminarlo.  Es  el  momento  en  el  que  el  navegador 
Netscape  esta  en  su  mayor  apogeo  y  Microsoft  quiere  su  parte  de  la  tarta  de  los  navegadores.  Es  el  ano 
en  el  que  Internet  Explorer  gana  mas  adeptos,  pero  sin  duda  influye  el  hecho  de  que  todo  usuario  de 
Windows  dispone  ahora  de  forma  gratuita  del  navegador,  a  mano  y  por  defecto,  con  lo  que  el  resto  quedan 
en  desventaja.  Incluso  se  acusa  a  Microsoft  de  alterar  las  APIs  para  favorecer  a  su  navegador  sobre  otros. 
Para  Microsoft,  la  incrustation  del  navegador  es  el  resultado  de  un  mejor  rendimiento  y  compatibilidad 
entre  navegador  y  sistema  operativo,  que  suponia  una  ventaja  para  sus  clientes.  Sus  detractores  alegan:  fSi 
IE  esta  disponible  para  Mac  de  forma  independiente,  por  que  no  para  Windows? 

_  Chen  Ing  Hau  crea  el  virus  CIH  o  Chernobyl  (que  lleva  sus  propias  iniciales). 
Justificarla  su  creation  por  una  venganza  en  contra  de  los  que  llamo  “incompetentes 
desarrolladores  de  software  antivirus”.  Denomina  a  su  criatura  Chernobyl  en 
conmemoracion  del  dia  del  aniversario  de  la  catastrofe  ocurrida  en  la  planta  nuclear 
sovietica.  Seria  calificado  como  uno  de  los  virus  mas  poderosos,  por  atacar  al  hardware 
del  sistema.  Modificaba  o  destruia  la  programacion  de  la  BIOS,  sobreescribiendo  parte 
de  este  firmware.  Tendria  diferentes  variantes. 

_  Linus  Torvalds  obtiene  la  marca  legal  de  “Linux”.  Se  lanza  la  version  del  kernel  2.2, 
aunque  la  verdaderamente  estable  se  considera  todavia  la  rama  2.0.  Aparecen  versiones 
avanzadas  de  sistemas  operativos  que  usan  el  kernel  Linux  como  Red  Hat  5.1,  Slackware  3.5 
y  OpenLinux  1.1  de  Caldera. 

_  El  7  de  septiembre  dos  jovenes  universitarios  que  pretendian  terminar  su  postgrado  en  la  Universidad 
de  Stanford  constituyen  una  pequena  firma  llamada  “Google  Inc.”.  Larry  Page  y  Sergey  Brin  cubren  asi 
legalmente  un  buscador  de  enlaces  web  que  habian  creado  un  par  de  anos  antes  con  el  nombre  de  BackRub. 
Posteriormente  seria  bautizado  como  Google  en  honor  al  termino  “googol”.  Es  un  termino  acunado  en 

1938  por  Milton  Sirotta  (de  10  anos)  sobrino  del  matematico 
estadounidense  Edward  Kasner  para  dar  nombre  a  10 
elevado  a  too.  Sientan  las  bases  de  lo  que  se  convertiria  en 
una  de  las  marcas  mas  reconocidas  del  planeta.  Mientras, 
el  usuario  tecleaba  Excite,  Infoseek,  Inktomi,  AltaVista  o 
Yahoo!  para  realizar  sus  busquedas.  Nace  Biwe,  un  buscador 
espanol  que  paso  sin  pena  ni  gloria. 

_  Tras  la  Sega  Saturn,  aparece  en  Japon  la  Sega  Dreamcast,  una  consola  adelantada  a  su  tiempo  que 
fracasaria.  Llegaria  a  Europa  en  1999.  Cuesta  unos  200  dolares  del  momento.  Tiene  16  megas  de  RAM, 
8  de  video,  200  Mhz  de  procesador  y  2  megas  de  RAM  para  sonido.  Por  primera  vez,  posee  un  modem 
incorporado  y  soporta  el  juego  en  linea.  Sony  todavia  pelea  con  la  Playstation  1  y  Nintendo  con  su  Nintendo 
64. 

_  En  septiembre  se  crea  la  Internet  Corporation  for  Assigned  Names  and  Numbers  (mas 
conocida  como  ICANN).  Establecida  en  California,  ICANN  es  una  compania  sin  animo  de  lucro  creada 
para  ordenar  ciertas  tareas  en  Internet  de  las  que  antes  se  ocupaba  IANA  (Internet  Assigned  Numbers 
Authority)  en  nombre  del  gobierno  de  los  Estados  Unidos.  ICANN  controla  el  reparto  de  direcciones  IP 
y  el  manejo  de  dominios  primarios.  En  2003  jugaria  un  papel  determinante  a  la  hora  de  “convencer”  a 
Verisign  para  que  retirase  su  controvertido  servicio  de  DNS  “Site  Finder”. 


Google! 

C5r.  1:  r  A 
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_  AOL  compra  Netscape  y  Netscape  funda  la  Mozilla  Organization.  En  principio  su  funcion  era 
coordinar  el  desarrollo  de  la  Mozilla  Application  Suite  (actualmente  Seamonkey  Suite).  Aunque  estaba 
compuesto  basicamente  de  trabajadores  de  Netscape,  operaba  independientemente.  El  navegador  Mozilla 
en  aquel  momento  no  estaba  pensado  para  ser  usado  por  usuarios  finales. 


_  Ericsson,  IBM,  Intel,  Nokia  y  Toshiba  comienzan  a  desarrollar  las  especificaciones  de  una  nueva 
tecnologia  de  transmision  bajo  el  nombre  en  codigo  de  Bluetooth. 


_  Se  lanza  con  gran  exito  el  juego  Commandos  para  PC.  Tecnologia  nacional  que  devuelve  a  Espana  su 
exito  en  la  creation  de  videojuegos,  olvidada  con  el  Spectrum. 


_  La  version  de  Norton  Anvirus  Deluxe  4.0,  incluye  un  metodo  para  “actualizar  el  antivirus  de 
forma  gratutita  a  traves  de  Internet,  con  solo  pulsar  un  boton”,  cosa  que  es  “conveniente  hacer  de  vez  en 
cuando”. 


_  Se  cree  que  el  DHTML  podria  oscurecer  el  futuro  de  Flash  en  Internet. 

_  Apache  lanza  su  version  1.3,  que  aporta  numerosas  mejoras  en  el  rendimiento  del  sistema.  Para 
mediados  de  ano,  copa  justo  la  mitad  de  los  sistemas  web  de  Internet.  La  rama  todavia  sigue  estando 
operativa,  debido  a  que  marcaria  un  antes  y  un  despues  en  el  desarrollo  del  servidor  web.  La  version  de 
Internet  Information  Server  4.0,  aparecida  con  Windows  NT  4.0  en  su  Option  Pack  a  finales  de  1997,  ya 
es  muy  usada  durante  el  ano,  aunque  su  version  3.0  todavia  tiene  bastante  exito.  Para  ese  ano  el  servidor 
de  Microsoft  copa  el  20%  de  uso  de  servidores  web.  IIS  4.0  se  convertiria  en  un  verdadero  quebradero  de 
cabeza  para  la  seguridad  en  Microsoft.  Se  resarciria  anos  despues  con  excelentes  resultados  en  seguridad 
en  su  version  6.0  y  7.0. 

_  Aparece  en  octubre  el  Service  Pack  4  para  Windows  NT  4.0.  Sus  problemas  e  incompatibilidades 
serian  objeto  de  la  primera  una-al-dia  publicada  por  en  octubre  de  1998. 


©Internet  no  se  entiende  sin  Netscape,  el  navegador  que  usa  la  mayoria...  pero  ese 
ano  cambiaria  todo.  Internet  Explorer  aparece  por  primera  vez  en  el  paquete 
opcional  Plus!  para  Windows  95,  y  no  arrasaria  con  todo  hasta  1999.  En  aquel 
momento  su  version  4.0,  aparecida  en  septiembre  de  1997,  es  la  mas  usada.  En 
1998  gana  rapidamente  adeptos  “gracias”  a  la  maniobra  de  la  companfa  de  incluirlo  de 
serie  en  Windows  98.  Durante  todo  el  ano  se  libra  una  dura  batalla  de  navegadores,  donde 
la  balanza  cambia  radical  y  rapidamente  en  favor  de  Microsoft.  Empieza  el  ano  con  un 
40%  de  usuarios,  frente  el  casi  60%  de  Netscape,  y  termina  1998  ganando  con  la  mitad  de 
la  tarta  y  dejando  un  47%  para  su  principal  competidor,  que  nunca  mas  se  recuperaria. 


Opera  es  todavia  minoritario,  va  por  su  version  3.  Ese  mismo  ano  la  companfa  decide 
apostar  por  desarrollar  un  navegador  especialmente  disenado  para  los  dispositivos 
moviles.  A  la  postre  resultana  un  acierto  para  la  empresa. 


_  Hay  ya  100  millones  de  usuarios  de  Internet  en  el  mundo.  En  Espana,  poco  mas  de  un  millon.  7,5 
millones  de  usuarios  tienen  ordenador. 

_  Se  lanza  el  procesador  K6-2,  competencia  directa  de  los  Pentium.  Una  de  las  diferencias  con  respecto 
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al  Pentium  al  que  planta  cara,  es  que  sigue  fiel  a  la  conexion  Socket  7,  mientras  que  Intel  aposto  para  sus 
Pentium  2  por  el  Slot  1  (en  perpendicular  a  la  placa). 

_  Las  Palm  Pilot  son  los  PDA  mas  vendidos.  Su  nombre  quedaria  practicamente  como  sinonimo  de 
PDA. 


_  Apple,  despues  de  unos  anos  de  crisis  sin  productos  novedosos,  comienza  su  resurgimiento  y  lanza  los 
iMac  con  un  estilo  futurista  y  moderno.  Llamados  “Bondi  Blue”,  tienen  un  procesador  G3  y  una  carcasa 
translucida  que  luego  se  comercializaria  en  distintos  colores.  Comienza  la  rama  iMac  que  perdura  hasta 
hoy.  Este  primer  iMac  se  dejaria  de  fabricar  en  2003.  Uso  el  sistema  operativo  Mac  OS  8,  Mac  OS  9,  Mac 
OS  X  y  paso  de  los  233  a  los  700  Mhz.  Comenzo  con  4  gigas  de  disco  duro. 

_  StarOffice  4.0  se  lanza  para  competir  contra  Office  97. 

_  Se  lanza  Qmail.  El  servidor  de  correo  de  codigo  abierto  destinado  a  la  seguridad.  Se  ofrecen  1.000 
dolares  a  quien  encontrase  una  vulnerabilidad  grave  en  el.  Nadie  lo  ha  conseguido  todavia,  diez  anos 
despues. 


_  Se  venden  kits  de  acceso  a  Internet  como,  por  ejemplo,  el  de  Teleline:  Un  ano  de  acceso  a  Internet  mas 
moden  33.600  bps.  Por  20.000  pts.  (120  euros).  Jet  Internet  ofrece  tambien  un  ano  de  acceso  a  traves  de 
RDSI,  con  tarjeta  por  45.000  pts.  (270  euros). 


Nace  Info  Via  Plus  para  sustituir  a  infovia. 


SL  Info  Via  Plus 


_  El  12  de  marzo  de  1998  se  publica  el  primer  numero  de  Ciberp@is,  en  forma  de  pequeno  periodico 
dedicado  a  Internet.  Una  publication  de  calidad  que  aposto  desde  el  primer  momento  por  la  information 
util  sobre  la  red. 


_  Juan  Carlos  Garcia  Cuartango  se  convierte  en  la  pesadilla  de  Microsoft.  El  ingeniero  espanol 
comienza  a  estudiar  el  navegador  Interntet  Explorer  en  busca  de  problemas  de  seguridad  en  1998  y 
descubre  lo  que  se  llamo  el  “agujero  Cuartango”  en  el.  El  agujero  permitia  ejecucion  de  codigo  a  traves 
de  JavaScript  (diez  anos  despues  sigue  siendo  el  origen  de  la  mayorla  de  los  problemas  de  seguridad  de 
los  navegadores  actuales).  Despues  viene  la  “ventana  de  Cuartango”...  y  desde  entonces  pasaria  anos 
desvelando  vulnerabilidades  cada  poco  tiempo,  ayudando  asi  a  mejorar  la  seguridad  del  navegador.  Junto 
con  Georgi  Guninski,  desvelaron  la  mayoria  de  los  problemas  de  seguridad  en  Microsoft  a  finales  de  los 
90. 

_  La  adquisicion  de  PGP  por  parte  de  NAi  levanta  discusiones  en  todos  los  circulos  de  la  criptografia 
acerca  del  camino  que  seguira  este  programa.  www.pgp.com  redirige  a  la  web  de  Network  Associates. 
Asegura  que  seguira  distribuyendo  este  programa  en  las  mismas  condiciones  que  se  ha  venido  haciendo 
hasta  ahora:  gratuito  y  ofreciendo  las  fuentes  de  esta  version  al  publico  general.  Zimmerman  abandonaria 
el  proyecto  pocos  anos  despues. 

_  El  28  de  diciembre  nace  Hispasec  como  un  portal  de  noticias  con  presencia  web.  Desde  octubre,  se 
habian  publicado  a  traves  del  boletin  de  correo  suficientes  boletines  como  para  recopilarlos  y  publicarlos  en 
una  pagina.  Ademas,  asi  cualquiera  podia  suscribirse  a  una-al-dia.  Bernardo  Quintero  utiliza  el  dominio 
www.hispasec.com  para  este  fin.  La  pagina  se  monta  sobre  un  “viejo”  PC  que  el  mismo  tiene  en  casa,  con 
procesador  Cyrix.  Se  hospeda  de  forma  “gratuita”  en  el  CPD  de  un  ISP  de  Malaga  para  el  que  Bernardo 
habia  comenzado  a  trabajar  por  las  tardes,  administrando  y  asegurando  los  sistemas. 
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Una  al  dia 


01/11/1998  WinScript.Rabbit,  una  nueva  generacion  de  virus 
dirigidos  a  Internet. 

Se  presenta  dentro  de  la  nueva  ola  de  virus  dirigidos  a  Internet,  WinScript.Rabbit  es  capaz 
de  infectar  ficheros  script  de  Windows  sobreescribiendolos  con  si  mismo.  Lo  mas  peligroso  de  este  virus  es 
que  es  capaz  de  propagarse  a  traves  de  Internet,  ya  que  las  ultimas  versiones  de  los  navegadores  ejecutan 
los  ficheros  scripts  de  forma  local  aunque  se  encuentren  alojados  en  servidores  remotos. 

La  idea  de  este  virus  es  muy  antigua,  tenemos  que  remontarnos  a  los  origenes  de  los  virus  en  los  sistemas 
UNIX.  En  los  anos  80  los  virus  escritos  en  lenguajes  scripts  clonicos  para  UNIX  se  convirtieron  en 
autenticas  plagas  para  las  redes  de  ordenadores  de  por  aquel  entonces.  Conocidos  como  “gusanos”  son 
de  destacar  el  “Christmas  Tree,”  HI.COM  y  “Wank  Worm”.  Ahora  WinScript.Rabbit  se  presenta  como  la 
nueva  generacion  de  “gusanos”  en  la  era  Windows/Internet. 

Es  el  primer  virus  identificado  que  afecta  a  los  ficheros  scripts  de  Windows.  Su  codigo  es  xtremadamente 
simple,  apenas  contiene  10  comandos,  y  todo  parece  indicar  que  su  origen  proviene  del  grupo 
“CodeBreakers”.  El  virus  contiene  algunos  fallos  que  provocan  que  se  detecte  facilmente  cuando  infecta  un 
sistema.  Cuando  un  navegador  lo  ejecuta  el  virus  infecta  todos  los  ficheros  de  la  cache  del  navegador,  y  los 
copia  al  escritorio  de  Windows,  que  es  el  directorio  por  defecto  de  los  navegadores.  Cuando  esto  ocurre,  el 
escritorio  se  inunda  de  iconos  correspondiente  a  los  ficheros  infectados.  El  nombre  de  Rabbit  proviene  de 
su  facilidad  para  la  reproduction  similar  a  la  de  los  conejos. 

Pese  a  los  graves  fallos  de  funcionamiento  y  su  simplicidad,  este  virus  representa  una  amenaza  potencial 
para  todos  los  usuarios  de  Internet,  ya  que  puede  servir  de  base  para  virus  mas  sofisticados  que  utilicen 
el  mismo  principio  de  propagation.  Es  probable  que  en  el  futuro  surgan  nuevos  virus  que  aprovechando 
las  caracteristicas  de  los  navegadores  y  de  los  sistemas  Windows  infecten  otros  tipos  de  ficheros  ademas 
de  los  scripts. 

El  virus  trabaja  bajo  todas  las  versiones  de  Windows  32bits  (Windows  95/98/NT)  si  se  encuentra  instalado 
el  Microsoft  Scripting  Host,  el  cual  viene  por  defecto  activado  en  las  versiones  98  y  NT  5.0  (Windows  2000). 
En  el  resto  de  sistemas  windows  puede  encontrarse  si  se  han  actualizado  determinados  componentes. 

Para  protegerse  de  este  nuevo  tipo  de  virus  debemos  de  activar  la  siguiente  protection: 

Internet  Explorer  Windows  98: 

-  □  X 

View/Folder 
Options/File 
Types/VBScript 

File/Edit/Confirm  open  after  download 


En  Netscape  no  existe  una  option  para  la  ejecucion  de  ficheros  scripts.  Por  el  momento  no  se  ha  detectado 
propagation  de  este  virus  en  Netscape. 

Bernardo  Quintero 


Una  al  dia.  Once  anos  de  seguridad  informatica  - 1998  - 
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03/11/1998  El  Gusano  de  Morris,  10  anos  despues. 

El  3  de  noviembre  de  1988,  tal  dia  como  hoy,  miles  de  ordenadores  sucumbieron  ante  el  engendro  de 
Robert  Tappan  Morris,  un  estudiante  de  23  anos  de  la  Universidad  de  Cornnel  A1  llegar  a  sus  puestos  de 
trabajo,  los  administradores  no  daban  credito  al  ver  como  sus  VAXs  y  SUNs  se  bloqueaban  en  cadena, 
victimas  de  una  sobrecarga  de  tareas  invisibles.  Ninguno  era  consciente  de  que  estaba  siendo  testigo  de 
exception  de  lo  que  ha  llegado  a  ser  un  mito  en  la  informatica  y  las  comunicaciones,  aquellas  99  lineas  de 
codigo,  causas  del  desastre,  han  dado  lugar  a  lo  que  hoy  se  conoce  como:  el  Gusano  de  Morris. 

No  son  pocas  las  discusiones  que  siempre  se  han  mantenido  sobre  si  el  termino  “gusano”  es  o  no 
apropiado  para  describirlo,  0  si  por  el  contrario  deberiamos  hablar  del  primer  “virus”  de  red.  La  principal 
diferencia  entre  un  “gusano”  y  un  “virus”  tradicional  la  podemos  encontrar  en  el  metodo  de  operar  a  la 
hora  de  reproducirse.  Cuando  un  “virus”  estandar  entra  en  un  ordenador  el  suele  alterar  un  fichero  al 
que  se  adjunta.  Cualquier  uso  posterior  del  fichero  infectado  hara  que  este  se  active,  siempre  de  forma 
transparente  al  usuario.  El  “virus”  se  encontrara  en  el  sistema  sin  dar  senales  de  vida  aparentes,  hasta 
que  ejecute  su  efecto  (payload)  en  una  fecha  determinada  6  por  otra  condition  que  el  programador  del 
“virus”  haya  elegido.  Ademas,  para  lograr  pasar  de  un  ordenador  a  otro  necesita  que  un  fichero  infectado 
sea  traspasado  por  la  action  de  un  usuario. 

En  el  otro  lado,  cuando  un  “gusano”  entra  en  un  ordenador,  normalmente  a  traves  de  Internet,  comienza 
una  busqueda  de  otros  sistemas  conectados  a  la  Red  que  puedan  ser  victimas  de  su  infection.  Al 
contrario  que  los  “virus”,  no  existe  un  estado  de  latencia,  el  se  activa  nada  mas  infectar  el  ordenador, 
y  no  necesita  adjuntarse  a  ningun  fichero.  Para  lograr  su  cometido  se  basa  en  los  “agujeros”  de  otros 
sistemas  que  le  permita  introducirse  en  ellos,  y  continuar  su  infection.  Es  una  especie  de  “virus  hacker” 
que  explota  los  fallos  de  seguridad  de  los  sistemas  para  reproducirse.  En  el  caso  del  Gusano  de  Morris, 
explotaba  vulnerabilidades  bien  conocidas  del  s.o.  Unix.  Por  ejemplo,  la  version  del  sendmail  de  aquella 
epoca  permitia  conocer  los  usuarios  de  forma  remota.  Simplemente  probando  cuentas  cuyos  nombres  de 
usuarios  y  passwords  coincidieran,  el  Gusano  consiguio  gran  cantidad  de  accesos. 

El  origen  de  los  “gusanos”  deriva  de  los  anos  60,  cuando  en  los  laboratories  AT&T  Bell  se  origino  el  juego 
“Core  Wars”  6  guerra  de  nucleos  de  ferrita.  La  memoria  de  nucleo  de  ferrita  contenia  tanto  conjunto  de 
instrucciones  como  de  datos.  El  juego  consistia  en  crear  un  programa  que  al  reproducirse  fuera  ocupando 
toda  la  memoria,  al  tiempo  que  borraba  de  ella  al  programa  del  contrincante.  El  jugador  cuyo  programa 
conseguia  hacerse  con  toda  la  memoria,  o  que  tras  transcurrido  un  tiempo  tenia  mayor  numero  de 
reproducciones,  ganaba  la  partida. 

Parece  clara  la  relation  entre  estos  juegos  de  los  anos  60  y  el  Gusano  de  Morris.  Sin  embargo,  un  estudio 
mas  detallado  nos  llevara  a  comprender  hasta  que  punto  se  estrechan  los  lazos  entre  estas  historias.  Los 
tres  estudiantes  que  dieron  origen,  en  los  laboratorios  AT&T  Bell,  a  “Core  Wars”  respondian  a  los  nombres 
de  H. Douglas  Mcllroy,  Victor  Vysottsky  y  Robert  Morris.  No,  no  se  trata  de  una  equivocation,  Robert 
Morris  de  los  laboratorios  AT&T  de  los  anos  60  es,  ni  mas  ni  menos,  que  el  padre  de  Robert  Morris  creador 
del  Gusano. 

Pero  aun  hay  mas,  un  estudio  detallado  del  codigo  del  Gusano  de  Morris  viene  a  demostrar  la  existencia 
de  dos  programadores.  Todo  parece  indicar  que  Robert  Morris  hijo  utilizo  parte  de  los  programas  creados 
por  el  padre  en  “Core  Wars”,  junto  con  documentation  reservada  de  los  laboratorios  Bell,  donde  su  padre 
fue  uno  de  los  desarrolladores  del  UNIX.  Al  fin  y  al  cabo,  de  tal  palo,  tal  astilla. 

Bernardo  Quintero 
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07/11/1998  DeepThoat  se  suma  a  la  moda  de  los  troyanos. 

Tras  los  ya  conocidos  BackOriffice  y  NetBus  aparece  un  nuevo  troyano  con  caracteristicas  de  administration 
remota,  DeepThroat.  Al  igual  que  con  BO  y  NetBus  la  herramienta  se  compone  de  dos  partes  claramente 
diferenciadas,  el  cliente  y  el  servidor.  El  cliente  que  aparce  bajo  el  nombre  de  RemoteControl,  se  usa  para 
controlar  los  ordenadores  afectados  mientras  que  el  programa  Systempatch  es  el  servidor.  DeepThroat 
(http://haxor.to/deept/)  es  una  herramienta  de  administration  remota  para  95/98.  Basicamente  es  una 
herramienta  freeware  con  capacidades  similares  a  las  que  ya  disponian  NetBus  y  BO. 

El  cliente  permite  acceso  a  la  unidad  de  CD,  abriendo  y  cerrando  la  unidad  de  forma  remota,  tambien 
permite  el  envio  de  cajas  de  mensjaes,  ocultar  y  mostrar  la  barra  de  inicio.  Al  instalar  el  servidor  tambien 
se  procede  a  la  instalacion  de  un  servidor  de  ftp  a  traves  del  puerto  21,  gracias  al  que  se  puede  subir  y  bajar 
ficheros  del  ordenador  afectado  sin  ningun  problema.  Se  puede  ver  la  pantalla  del  ordenador  infectado 
gracias  a  la  posibilidad  de  efectuar  una  captura  de  pantalla,  en  formato  jpg  y  de  unos  8okb  que  sera 
enviada  de  forma  automatica  al  cliente.  No  permite  ver  la  pantalla  del  ordenador  remoto  en  tiempo  real, 
pero  si  puede  dar  una  buena  idea  de  que  hay  “en  el  otro  lado”. 

Algo  que  puede  llegar  a  resultar  muy  molesto  es  la  posibilidad  de  encender  y  apagar  el  monitor  remoto. 
Esta  funcion  hace  que  el  monitor  pase  al  estado  de  ahorro  de  energia  y  solo  puede  ser  restaurada  de  nuevo 
de  forma  remota.  Igual  de  molesta  puede  resultar  la  option  de  rebotar  el  ordenador. 

Por  ultimo  DeepThroat  incluye  un  scanner  que  permite  buscar  ordenadores  con  el  servidor  instalado. 
El  equipo  de  I+D  de  HispaSec  investigara  y  comprobara  mas  a  fondo  el  funcionamiento  de  DeepThoat 
esperando  seguir  informandoos  sobre  esta  nueva  herramienta. 

Bernardo  Quintero 


08/11/1998  Virus  infector  de  html 

Ha  nacido  una  nueva  generation  de  virus,  HTML.Internal  es  el  primer  virus  conocido  capaz  de  infectar 
archivos  html.  HTML.Internal  busca  ficheros  html  en  los  discos  infectandolos.  Para  difundirse  a  si  mismo 
el  virus  usa  rutinas  de  script  escritas  en  Visual  Basic  que  incluye  dentro  del  codigo  html.  El  virus  solo  es 
capaz  de  replicarse  en  caso  de  que  los  niveles  de  seguridad  del  navegador  permitan  la  ejecucion  de  rutinas 
de  script  con  capacidad  de  acceder  a  los  archivos  del  disco.  Por  defecto  esta  option  viene  desactivada  y  al 
acceder  a  un  archivo  infectado  se  muestra  un  mensjae  de  error. 

La  cabecera  de  los  archivos  html  infectados  contienen  la  referencia  a  un  script  (rutina  principal  del 
virus)  que  es  ejecutada  automaticamente  cuando  el  navegador  accede  al  archivo  infectado.  Cuando  la 
rutina  principal  del  virus  toma  el  control  esta  llama  a  la  rutina  de  infection  con  una  probabilidad  de  1/6 
dependiendo  de  un  contador  aleatorio,  en  caso  contrario  se  devuelve  el  control. 

Usando  instrucciones  Visual  Basic  el  virus  busca  todos  los  archivos  *.htm  y  *.html  en  el  directorio  actual  y 
superior  infectandolos.  Cuando  el  el  virus  infecta  un  archivo  se  escribe  asimismo  al  comienzo  del  fichero 
sin  ningun  dano  para  los  datos  de  los  ficheros. 

La  cabecera  del  virus  contiene  la  siguiente  linea  que  lo  identifica: 

<html>  <!— internal— > 

Despues  de  infectar  el  virus  muestra  «HTML. Prepend  /internal*  en  la  barra  de  estado  de  Windows. 

Antonio  Ropero 


Una  al  dia.  Once  anos  de  seguridad  informatica  - 1998  - 
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03/12/1998  USA  nos  exporta  sus  restricciones  criptograficas. 

Los  Estados  Unidos  y  la  administration  Clinton  no  contentos  con  imponer  su  severa  polltica  de  exportacion 
de  material  criptografico  han  convencido  a  otras  33  naciones,  entre  las  que  se  incluye  Espana,  para  que 
sigan  sus  directrices  en  esta  materia. 

En  una  reunion  celebrada  ayer  jueves  tres  de  diciembre,  las  33  naciones  que  firmaron  el  acuerdo  de 
Wassenaar  (www.wassenaar.org)  limitando  la  exportacion  de  armamento  se  mostraron  de  acuerdo  en 
imponer  controles  a  las  tecnologias  mas  avanzadas  de  encriptacion  de  datos,  incluyendo  el  software 
destinado  al  mercado  de  masas.  Entre  las  naciones  firmantes  de  este  acuerdo  se  encuentran  potencias 
como  Japon,  Alemania  y  Gran  Bretana. 

De  esta  forma  Estados  Unidos  ha  conseguido  convencer  a  otras  naciones  de  que  sigan  sus  mismas 
directrices  en  la  materia  de  exportacion  de  software  de  encriptacion  de  datos. 

Companias  de  alta  tecnologia  estadounidenses,  como  Microsoft  e  Intel,  se  habian  quejado  de  que  la 
carencia  de  restricciones  en  otros  paises  obstaculizaba  su  capacidad  de  competir  al  exterior.  La  industria 
pedia  que  las  restricciones  americanas  se  relajaran  0  eliminaran  totalmente,  pero  no  ha  pedia  controles 
mas  apretados  en  otros  paises. 

Los  abogados  de  la  privacidad  tambien  se  han  opuesto  firmemente  a  los  controles  de  la  exportacion  en  el 
cifrado  de  los  EE.UU.,  discutiendo  que  las  tecnologias  de  encriptacion  proporcionaran  los  medios  cruciales 
para  proteger  la  privacidad  en  la  era  digital. 

La  nueva  politica  excluye  especificamente  del  control  a  aquellos  productos,  como  peliculas  0  grabaciones 
enviadas  a  traves  de  Internet,  que  usen  la  encriptacion  para  proteger  la  propiedad  intelectual  del  copiado 
ilegal. 

Segun  las  claves  del  acuerdo  firmado,  los  paises  miembros  del  tratado  restringiran  las  exportaciones 
de  productos  de  encriptacion  general  que  usen  claves  superiores  a  56  bits,  los  productos  destinados  al 
mercado  de  masas  tendran  una  limitation  de  64  bits. 

Ahora  sera  cada  uno  de  los  paises  los  que  deban  redactar  sus  propias  leyes  para  la  implementation  del 
acuerdo.  Las  33  naciones  firmantes  de  este  restrictive  acuerdo  son  las  siguientes:  Argentina,  Australia, 
Austria,  Belgica,  Bulgaria,  Canada,  Republica  Checa,  Dinamarca,  Finlandia,  Francia,  Alemania,  Grecia, 
Hungria,  Irlanda,  Italia,  Japon,  Luxemburgo,  Holanda,  Nueva  Zelanda,  Noruega,  Polonia,  Portugal, 
Republica  de  Corea,  Rumania,  Rusia,  Republica  Eslovaca,  Espana,  Suecia,  Suiza,  Turquia,  Ucrania,  Reino 
Unido  y  Estados  Unidos. 

En  estos  momentos  en  HispaSec  mostramos  una  gran  preocupacion  por  lo  que  pueda  representar  este 
tratado,  esperando  que  no  afecte  a  la  libertad  y  la  privacidad  de  todo  el  mundo.  fCual  es  el  futuro  del  PGP? 
?Que  pasara  con  la  version  internacional  de  PGP?  iCual  es  la  opinion  de  las  companias  que  se  puedan 
ver  afectadas  por  la  restriction?  Todo  parece  indicar  que  cada  dia  nos  quieren  dificultar  mas  la  libertad  y 
poner  mas  trabas  a  la  privacidad. 

Antonio  Ropero 


16 


Una  al  dia.  Once  anos  de  seguridad  informatica  - 1998  - 


13/12/1998  El  sistema  militar  britanico  indefenso  ante  el  2000. 

Segun  el  ultimo  informe  elaborado  por  la  secretaria  de  defensa  Britanica,  se  detectan  graves  problemas  en 
todos  sus  sistemas  informaticos  para  la  transicion  al  ano  2000.  Un  90%  de  los  sistemas  informaticos  mas 
importantes  de  la  marina  de  su  Majestad  no  estan  preparados  para  el  cambio  de  milenio.  Este  problema 
no  solo  afecta  a  la  armada,  ya  que  tambien  se  ven  afectados  el  65%  de  los  sistemas  de  las  Fuerzas  Aereas, 
el  82%  de  los  Sistemas  de  la  Secretaria  de  Defensa  y  el  50%  de  los  sistemas  del  Ejercito  de  Tierra. 

Los  ordenadores  que  controlan  los  misiles  Trident,  tambien  se  ven  afectados,  lo  que  hace  ha  este  problema 
tomar  un  cariz  mas  peligroso,  ya  que  estos  misiles  portan  cabezas  nucleares. 

La  falta  de  tiempo  para  poder  realizar  una  optima  comprobacion,  anade  una  mayor  peligrosidad  al  tema, 
ya  que  la  prevision  realizada  por  la  Secretaria  de  Estado,  estimaba  que  la  optimization  deberia  haber 
finalizado  para  el  31  de  Diciembre  de  1.998.  Esto  hubiera  dado  un  margen  de  un  ano  para  la  comprobacion 
de  todos  los  sistemas  informaticos.  Las  autoridades  britanicas  consideran  tras  dos  anos  de  actualization, 
imposible  de  cumplir  los  plazos  preestablecidos. 

Antonio  Ropero 


14/12/1998  Una  nueva  generacion  de  virus  informaticos  ha  llegado. 

El  intercambio  de  disquetes  y  aplicaciones  ha  sido  la  via  principal  de  transmision  de  virus  informaticos.  Con 
la  llegada  de  Internet  llegan  tambien  los  nuevos  virus  capaces  de  viajar  por  la  red  para  infectar  maquinas 
situadas  a  miles  de  kilometres.  La  primera  muestra  de  esta  nueva  amenaza  nos  llega  una  vez  mas  de  la 
mano  de  29A.  Para  los  menos  introducidos  en  este  mundo,  29A  es  un  grupo  espanol  de  programadores 
dedicados  a  la  investigation  y  desarrollo  de  vida  artificial,  especialmente  de  virus  informaticos. 

Win32. Parvo  es  un  virus  capaz  de  infectar  ordenadores  remotos,  utilizando  tecnicas  de  propagation  por 
red.  Esto  significa  que  el  virus  es  capaz  de  transmitirse  desde  una  maquina  infectada  a  otra  mientras  la 
primera  esta  conectada  a  Internet. 

En  un  primer  analisis  descubrimos  que  Win32. Parvo  es  un  virus  altamente  polimorfo,  que  infecta 
aplicaciones  tanto  de  Windowsgs  y  98  como  de  WindowsNT.  Los  programas  infectados  se  ejecutan  sin 
ningun  problema,  y  el  usuario  puede  permanecer  infectado  durante  meses  antes  de  descubrir  que  su 
maquina  ha  sido  invadida. 

Tras  realizar  varias  pruebas  descubrimos  que  Win32. Parvo  infecta  varias  aplicaciones  destinadas  a 
Internet,  especialmente  el  navegador  y  el  cliente  de  correo.  Cuando  se  utilizan  estos  programas  es  porque, 
normalmente,  estamos  conectados  a  Internet,  momento  que  aprovechara  el  virus  para  crear  una  imagen 
virtual  de  si  mismo  en  el  mismo  formato  que  los  clientes  de  correo  utilizan  para  mandar  attachments. 
Sin  la  intervention  del  usuario  y  sin  delatar  su  actividad,  el  virus  se  envia  a  si  mismo  por  mail.  Tras  este 
descubrimiento  a  todos  nos  surge  la  misma  duda:  iy  a  quien  se  envia?  c.de  donde  obtiene  el  virus  las 
direcciones  de  mail  de  otros  usuarios? 

Despues  de  trastear  un  poco  mas  dentro  del  codigo  virico  nos  encontramos  con  la  respuesta.  El  virus  se 
conecta  a  un  grupo  de  news  elegido  al  azar  y  extrae  de  el  un  mensaje  cualquiera.  Seguidamente  busca  la 
direction  de  correo  del  remitente  y  esa  sera  su  proxima  victima. 

Cuando  otro  usuario  recibe  un  correo  infectado,  nada  hace  sospechar  que  se  trata  de  un  virus.  El  virus 


Una  al  dia.  Once  anos  de  seguridad  informatica  - 1998  - 


17 


es  capaz  de  generar  distintos  tipos  de  mensajes,  hablando  de  distintos  temas  y  con  direcciones  de  origen 
«spoofed»  (falseadas)  en  las  que  el  remitente  parece  ser  unas  veces  Microsoft  u  otras  empresas.  Los 
mensajes  tienen  algo  en  comun,  todos  llevan  un  fichero  adjunto  en  el  que  reside  el  virus,  y  que  infectara  el 
navegador  y  el  cliente  de  correo  si  el  usuario  lo  ejecuta,  con  lo  que  el  ciclo  de  vida  se  completa. 

Win32. Parvo  presenta  cualidades  que  le  aproximan  a  lo  que  conocemos  como  «worms»  (gusanos)  puesto 
que  no  necesita  infectar  los  programas  para  llegar  a  otras  maquinas.  No  obstante  el  virus  se  establece 
dentro  de  varias  aplicaciones  de  Windows  para  asegurar  asi  su  permanencia  en  el  sistema. 

Este  virus  es  el  pionero  en  este  tipo  de  transmision,  pero  sospechamos  que  no  es  mas  que  el  comienzo  de 
lo  que  sera  una  larga  lista  de  virus  de  nueva  generation. 

Antonio  Ropero 


21/12/1998  Nuevo  Virus  que  ataca  a  traves  de  redes  locales. 

En  los  ultimos  dias  nuevos  virus  han  visto  la  luz,  Itaqua,  Parvo  o  el  primer  virus  para  PowerPoint  se 
han  pasado  por  esta  section  de  noticias  en  pocos  dias.  En  esta  ocasion  un  nuevo  virus  salta  a  la  luz  por 
haber  tenido  en  jaque  durante  todo  el  fin  de  semana  al  gigante  de  las  comunicaciones  MCI  WorldCom. 
Network  Associates  (http://www.nai.com),  el  fabricante  del  antivirus  McAfee,  ha  designado  este  ataque 
como  un  caso  de  «ciberterrorismo»,  pero  MCI  WorldCom  (http://www.mciworldcom.com/)  afirma  que 
sus  operaciones  no  se  vieron  afectadas.  Aunque  segun  comentarios  inter  nos  a  los  que  HispaSec  ha  tenido 
acceso  «el  sistema  informatico  de  MCI  se  ha  derrumbado  y  ha  afectado  a  varios  lugares  por  culpa  de  un 
virus  informatico,  lo  que  ha  traido  de  cabeza  durante  el  fin  de  semana  a  media  empresa». 

El  portavoz  de  MCI  ha  rechazado  informar  acerca  de  la  propagation  del  virus  en  su  red,  0  de  cuantos 
ordenadores  se  vieron  afectados  por  «Remote  Explorer»,  (Explorador  Remoto)  nombre  asignado  a  este 
nuevo  virus.  El  virus  que  parece  que  se  propaga  a  si  mismo  sobre  redes  Windows  NT,  ha  sido  identificado 
hoy  lunes  por  Network  Associates  que  ha  colaborado  con  MCI  para  contener  el  virus  desde  que  este  fuera 
detectado  el  pasado  jueves. 

La  misma  Microsoft  ha  confirmado  que  tambien  ha  trabajado  desde  sabado  con  Network  Associates  para 
combatir  el  virus.  Segun  la  empresa  de  Bill  Gates  el  virus  se  propaga  sobre  ordenadores  con  Windows  NT 
bajo  plataforma  Intel  pero  solamente  cuando  funcionan  en  modo  «administrador». 

Remote  Explorer  comprime  archivos  de  programa  de  tal  forma  que  no  pueden  ejecutarse,  y  encripta 
ficheros  de  datos  por  lo  que  los  usuarios  no  pueden  tener  acceso  a  ellos.  Microsoft  ha  afirmado  que  la 
solution  al  problema  recupera  los  datos  perdidos  y  devuelve  las  maquinas  a  su  configuration  original. 

El  virus  es  residente  en  memoria  e  infecta  ficheros  exe,  txt  y  html,  tanto  en  NT  Server  como  NT  Workstation, 
propagandose  rapidamente  a  traves  de  entornos  de  red.  La  caracteristica  principal  y  mas  destacada 
de  Remote  Explorer  es  su  capacidad  para  transmitirse  y  replicarse  a  si  mismo  a  traves  de  la  red  sin  la 
intervention  tipica  del  usuario,  lo  cual  le  otorga  cualidades  propias  de  los  «gusanos». 

La  detection  del  virus  en  un  sistema  resulta  facil  de  comprobar.  Basta  con  acudir  al  «Panel  de  Control» 
de  Windows  NT  y  listar  los  «Servicios»  que  se  estan  ejecutando,  si  se  encuentra  uno  nombrado  como 
«Remote  Explorer»  evidenciara  la  presencia  del  virus.  Otra  forma  de  detectar  el  virus  es  a  traves  del 
«Administrador  de  tareas».  Si  entre  los  «procesos»  listados  se  encuentran  «ie403r.sys»  0  «taskmgr.sys» 
(no  .exe)  el  sistema  estara  infectado. 
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Sorprendentemente  se  trata  de  un  virus  con  un  gran  tamano.  Sus  125  Kbytes  lo  convierten  en  todo  un 
gigante,  especialmente  comparandolo  con  los  tamanos  habituates  de  10  Kbytes  aproximadamente  del 
otros  virus.  Este  tamano,  puede  venir  dado  al  estar  escrito  en  C,  contando  con  unas  50.000  lineas  de 
codigo  y  estimandose  en  200  horas  las  labores  de  programacion  del  virus. 

El  virus  lleva  una  dll  consigo  para  el  proceso  de  infeccion,  pero  si  la  dll  se  borra  el  mismo  creara  otra  copia. 
El  virus  incluye  una  rutina  de  tiempo,  disenada  para  aumentar  su  velocidad  en  el  proceso  de  infeccion 
y  busqueda  durante  el  periodo  que  comprende  las  3:00  PM  de  cualquier  sabado  hasta  las  6:00  AM  del 
siguiente  domingo.  Otra  caracteristica  sorprendente  del  virus  es  su  ausencia  de  payload,  0  accion  que  lleva 
a  cabo  en  su  activation. 

Si  se  localiza  un  sistema  infectado  en  el  entorno  de  red,  es  recomendable  aislar  dicho  ordenador  y 
determinar  que  maquinas  estan  en  conexion  directa  con  ella,  desactivando,  de  igual  forma,  la  conexion 
a  la  red  de  estas  otras.  Como  el  virus  infecta  la  memoria  es  necesario  arrancar  con  un  disquete  limpio 
para  proceder  a  su  detection  y  limpieza.  Network  Assiciates  dispone  de  un  detector  gratuito  para  Remote 
Explorer  en  sus  paginas  web,  en  la  direction  http://www.nai.com/products/antivirus/remote_explorer. 
asp 

Antonio  Ropero 


31/12/1998  Adios  1998,  Feliz  1999. 

Se  acaba  el  1998,  y  damos  la  bienvenida  a  un  nuevo  ano.  Un  1998,  que  ha  significado  el  nacimiento  de 
HispaSec  y  que  ha  estado  lleno  de  noticias.  Vamos  a  aprovechar  este  ultimo  dia  del  ano  para  realizar  un 
breve  repaso  a  las  noticias  publicadas  mas  destacadas. 

La  andadura  de  una-al-dia  nacio  un  28  de  octubre  y  fue  exactamente  dos  meses  despues,  el  28  de  diciembre 
cuando  se  abria  al  publico  nuestro  web  (www.hispasec.com).  Nuestra  primer  a  noticia  hacia  referencia  al 
Service  Pack  4  y  todos  los  problemas  que  se  habian  encontrado  en  el. 

El  tema  virico  junto  con  el  de  Internet  ha  sido  las  materias  que  mas  articulos  han  generado  en  nuestro 
servicio  de  noticias.  Hemos  cubierto  el  nacimiento  de  nuevas  tecnologias  viricas,  como  los  virus  de 
script,  los  troyanos  de  Internet,  con  un  estudio  especial  sobre  el  DeepThroat,  los  virus  html  0  el  primer 
virus  para  PowerPoint.  Tambien  hemos  dedicado  un  espacio  a  virus  espanoles  como  el  Win32. Parvo  o  el 
Ithaqua.  Internet  y  las  vulnerabilidades  encontradas  en  determinados  sistemas  ha  generado  importantes 
noticias.  Los  fallos  descubiertos  por  el  espanol  Juan  Carlos  Garcia  Cuartango  han  sido  noticia  en  multiples 
ocasiones,  otros  sistemas  vulnerables  de  los  que  nos  hemos  hecho  noticia  han  sido  el  SHH,  BIND,  routers 
cisco,  el  KDE,  MS-Proxy,  etc. 

Pero  tambien  hemos  informado  de  hechos  importantes  y  relevantes  en  el  mundo  de  la  seguridad 
informatica.  La  propuesta  del  PGP  como  estandar,  el  tratado  de  Wassenar,  la  problematica  de  Internet 
en  China,  o  la  reduction  de  las  medidas  en  la  limitation  de  exportation  de  material  criptografico  por  el 
gobierno  estadounidense. 

El  2000  y  toda  la  problematica  asociada  tambien  ha  venido  a  ocupar  una  parte  importante  de  este  servicio 
de  noticias.  Sin  duda  el  proximo  ano  1999,  el  problematico  ano  dara  mucho  mas  que  hablar.  Para  acabar 
solo  nos  queda  desear  un  feliz  ano  nuevo  a  todos  nuestros  suscriptores. 


Antonio  Ropero 
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Entrevista 


Juan  Carlos  Garcia  Cuartango  salta  a  la  fama  en  1998  cuando  (con  38  anos) 
de  forma  obstinada  y  continua,  comienza  a  encontrar  problemas  de  seguridad  en 
el  inmaduro  Internet  Explorer.  El  agujero  de  Cuartango,  la  ventana  de  Cuartango... 
junto  con  Guninsky,  protagoniza  una  epoca  en  la  que  los  investigadores  privados  juan  C.  G.  Cuartango 
demuestran  las  carencias  de  un  software  muy  popular,  poniendo  en  evidencia 
a  los  desarrolladores  y,  a  la  vez,  motivandolos  para  mejorar  la  seguridad  del  producto.  Una-al-dia  se 
alimento  durante  mucho  tiempo  de  sus  descubrimientos,  desde  donde  se  le  daba  la  repercusion  mediatica 
necesaria. 

Hispasec:  ciCon  que  edad  empezaste  a  tener  contacto  con  la  informatica?  tRecuerdas  los 
primeros  equipos  informaticos  que  pudiste  trastear? 

Juan  Carlos  Garcia  Cuartango:  Antes  de  la  informatica  estaba  la  electronica.  Recuerdo  una  radio 
con  un  diodo  de  germanio,  un  condensador  y  una  bobina  construida  sobre  el  carton  de  un  rollo  de  papel 
higienico  enchufada  al  radiador  y  al  somier  de  la  cama.  Esto  marco  mi  futuro  hacia  las  telecomunicaciones 
cuando  yo  tenia  12  anos.  Despues  ya  en  la  veintena  conoci  el  ZX  Spectrum. 

H:  En  Hispasec  conocimos  a  Cuartango,  el  descubridor  de  vulnerabilidades  en  el  navegador 
de  Microsoft,  en  1998.  Antes  de  entonces,  tcual  era  tu  especialidad  profesional?,  tque 
trabajos  desempenabas? 

JCGC:  Siempre  he  trabajado  en  temas  de  comunicaciones  informaticas  en  grandes  fabricantes  como 
consultor  y  desarrollador. 

H:  fcCual  fue  tu  primer  contacto  con  Hispasec?  e'.Estas  suscrito  a  una-al-dia? 

JCGC:  Mi  primer  contacto  con  Hispasec  seria  en  1999,  la  verdad  es  que  por  aquella  epoca  no  habia  casi 
nada  en  Castellano  sobre  seguridad.  Desde  entonces  sigo  leyendo  puntualmente  el  una-al-dia.  Por  cierto 
aprovecho  para  desearos  feliz  cumpleanos  a  todo  el  equipo  de  Hispasec. 

H:  tCuando  y  como  encontraste  la  primera  vulnerabilidad  en  Internet  Explorer? 

JCGC:  La  primera  vulnerabilidad  en  1998  era  visual  ya  que  era  posible  falsificar  ventanas  para  hacer 
pulsar  al  usuario  el  boton  equivocado.  Los  avisos  de  Windows  estaban  mal  disenados,  de  hecho  siguen 
estando  mal  disenados. 

H:  En  las  posteriores  vulnerabilidades  que  detectaste  en  el  navegador  de  Microsoft, 
fcseguias  algun  tipo  de  proceso  o  metodologia  para  su  descubrimiento?  tcuanto  de  esfuerzo 
(de  dedicarle  horas)  y/o  genialidad  (intuicion)? 

JCGC:  Solo  el  olfato  y  ninguna  herramienta  ni  metodo. 

H:  fcComo  era  tu  relacion  con  Microsoft  en  el  momento  de  los  descubrimientos  continuos? 
fcTrabajabas  con  ellos  para  solucionarlos  o  esperabas  tranquilamente  el  parche?  f.Alguna 
anecdota  que  contar? 

JCGC:  Yo  les  pasaba  la  information  y  esperaba  el  parche  y  despues  publicaba  los  detalles.  Una  vez  me 
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preguntaron  en  Navidad  si  me  gustaba  mas  el  giiisqui  porque  querian  regalarme  una  botella.  Les  conteste 
que  era  de  muy  mal  gusto  la  pregunta  al  menos  para  nuestra  cultura  espanola  asi  que  les  dije  que  en  tales 
condiciones  no  podia  aceptar  ningun  regalo  de  ellos. 

H:  Durante  aquellos  anos  tambien  destaco  Georgi  Guninski  como  descubridor  de 
vulnerabilidades  en  navegadores,  raro  era  el  mes  que  no  se  publicaba  una  nueva 
vulnerabilidad  suya  o  tuya.  tComo  era  tu  relacion  con  Guninski  (si  es  que  existia)? 

JCGC:  De  vez  en  cuando  intercambiabamos  mensajes  incluso  en  alguna  ocasion  nos  intercambiamos 
informacion  para  discutirla  tecnicamente. 

H:  c'.Que  opinas  del  debate  “full  disclosure”  o  revelacion  responsable? 

JCGC:  Me  parece  el  tratamiento  adecuado  para  los  problemas  de  seguridad. 

H:  A  dia  de  hoy  existen  mercados,  tanto  negros  como  iniciativas  legitimas  y  reconocidas, 
en  el  que  se  venden  y  se  compran  las  vulnerabilidades.  iExistia  algo  parecido  en  la  epoca  en 
la  que  estuviste  mas  activo  en  el  descubrimiento  de  vulnerabilidades?  iPodia  ser  entonces 
una  actividad  directamente  rentable  en  terminos  economicos  o  solo  en  imagen  y  prestigio? 
f'.Tuviste  ofertas  para  comprar  tus  proximas  vulnerabilidades? 

JCGC:  Yo  nunca  tuve  ofertas  ni  blancas  ni  negras,  tan  solo  en  una  ocasion  cuando  descubri  un  agujero  del 
Netscape  me  enviaron  una  camiseta  y  un  cheque  de  mil  dolares,  ahora  que  ya  esta  prescrito  (pues  hace  ya 
casi  to  anos)  puedo  confesar  mi  pecado.  No  declare  el  cheque  a  Hacienda,  solo  lo  ingrese  en  Caja  Madrid, 
esa  ha  sido  mi  unica  trampa  a  hacienda  en  25  anos  de  experiencia  como  contribuyente. 

H:  Tras  varios  anos  con  una  gran  actividad  en  el  descubrimiento  de  vulnerabilidades,  al 
menos  en  el  terreno  publico,  no  volvimos  a  tener  mas  “agujeros”  ni  “ventanas”  de  Cuartango 
fcpor  que? 

JCGC:  Todo  cansa. 

H:  Ahora  hay  una  hornada  nueva,  de  gente  muy  joven,  en  el  terreno  de  la  seguridad  y  el 
descubrimiento  de  vulnerabilidades.  r'.Algun  consejo  para  ellos? 

JCGC:  Que  se  dediquen  a  otra  cosa. 

H:  f.Que  sistema  operativo  y  navegador  utilizas?  e'.Algun  programa  de  seguridad  adicional 
como  antivirus? 

JCGC:  Personalmente  utilizo  Windows  XP  y  Explorer.  Como  antivirus  Kaspersky,  i  Viva  el  vino,  las 
mujeres  y  las  Windows  !  (Espero  que  no  se  considere  machista  lo  dicho) 

H:  6 A  que  dedicas  mas  tiempo  ultimamente?  ^Hobbies? 

JCGC:  Mi  aficion  desde  hace  unos  anos  es  la  astronomia,  los  agujeros  negros  (aunque  no  se  vean,  son 
mucho  mas  interesantes  que  los  agujeros  de  los  ordenadores).  Por  otra  parte  la  contemplacion  de  la  luna 
creciente  de  6  dias  es  mucho  mas  relajante  que  la  contemplacion  de  los  pantallazos  azules. 

H:  Un  libro,  una  cancion. 
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JCGC:  Lo  que  leo  en  el  metro  estos  dias:  “La  quinta  mujer”  de  Henning  Mankell.  Cancion  :  “Bye  bye  miss 
American  pie” 

H:  fcAlguna  prediccion  en  materia  de  seguridad  informatica?  £Que  nos  espera? 

JCGC:  En  19  anos  no  ha  habido  ningun  avance.  Cada  vez  los  ordenadores  hacen  menos  cosas  sin  advertirte 
ocho  veces  sobre  el  peligro  de  lo  que  vas  a  hacer.  Windows  Vista  y  su  UAC,  0  el  “sudo”  de  linux  son  el 
paradigma  de  los  avances  logrados  en  10  anos.  Parece  que  nos  espera  mas  de  lo  mismo:  tu  haz  lo  que 
quieras  pero  yo  ya  te  habia  avisado  asi  que  no  soy  responsable  de  nada.  En  realidad  la  informatica  en 
general  no  ha  avanzado  nada  en  los  ultimos  30  anos. 
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Documentation 


v 


Alojaba  la  primera  pagina  web.  Sus 
caracteristicas: 

.  Procesador  Cyrix  486  DX2  80, 

.  16  Mbytes  de  RAM, 

.  Disco  duro  de  6  Gbytes  y  Windows  NT  4.0. 

Estaba  directamente  conectado  a  internet, 
sin  cortafuegos  fisico  o  por  software. 


A  Principal 


■ftnagiitBfiasM 

HispaSec  esta  formado  pot  un  grupo  de  especialistas  en 
segundad  informatica  con  el  proposito  de  promocionar  y 
concienciar  de  la  impoitancia  de  este  sector  en  el  campo  de 
las  nuevas  tecnologias  de  la  irrformacidn. 


HispaSec  pobllca  de  forma  diana  una  news-letter  con  la 
notlcia  mas  relevante  del  dia  en  el  mundo  de  la  segundad 
Informatica. 

Tambien  realizamos  informes  de  seguridad.  analisis  de 
productos,  etc  todo  ello  con  un  enfoque  tecmco  y  con  total 
independencla. 

Por  otra  parte,  pretendemos  infomar  de  la  actualldad  de  las 
diferentes  firmas  comerciales  de  seguridad.  por  lo  que 
publicamos  todas  las  notas  de  prensa  que  nos  lleguen  a  tal 
efecto.  Diferenciando.  eso  si.  de  forma  clara  que  se  trata  de 
una  nota  de  prensa  proporcionada  por  el  fabricante  0 
distributor  de  un  determinado  producto 
Ofertamos  servicios  a  usuanos  finales,  los  cuales  son 
siempre  gratuitos.  como  lo  son  en  la  actualidad  la  noticia 
diaria  0  los  informes  on-line,  0  lo  sera  el  future  servidor  de 
Haves  pgp  que  pensamos  inaugurar  en  breve 


COMPARATIVA 


Agujeros  de  Cuartango  mu 
Chaffing&Winnowing  cnpto 
Ultimos  analisis  Virus 
PGP  Enterprise  cr 
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Capitulo 

i 


HSE  H 


915148800  -  946684799 


Durante  este  ano... 


_  En  la  Union  Europea  entra  en  vigor  el  euro  como  moneda  unica  en  12  estados.  El 
dinero  fisico  se  pondria  en  circulation  a  principios  de  2001. 


_  En  enero  se  lanza  la  Mars  Polar  Lander.  Fue  una  sonda  espacial  estadounidense  que  despego  en 
enero  y  llego  a  su  destino  en  diciembre  de  1999.  Es  el  primer  intento  de  amartizaje  desde  el  exito  de 
Pathfinder  en  1997.  El  3  de  diciembre  de  1999,  diez  minutos  antes  de  aterrizar,  se  perderia  el  contacto. 

_  El  asunto  de  Bill  Clinton  sigue  coleando.  Comienza  el  juicio. 

_  Teleline  ofrece  ahora  por  20.000  pts.  (120  euros)  conexion  a  un  ano  pero  con  modem 
de  56kbps.  Anade  5  megas  de  pagina  web  y  3  buzones  de  correo. 

_  En  abril  se  produce  la  masacre  en  el  institute  Columbine.  Eric  Harris  y  Dylan  Klebold,  dos  adolescentes 
de  Littleton  (Colorado)  disparan  contra  sus  companeros  y  profesores,  matando  a  13  personas  y  suicidandose 
mas  tarde.  Michael  Moore  lo  tomaria  como  referenda  para  su  pelicula-documental  Bowling  for  Columbine, 
en  una  reflexion  sobre  el  uso  de  armas  de  fuego  en  los  Estados  Unidos. 


Windows98 

Second  Edition 


_  En  mayo  aparece  Microsoft  Windows  98  Second  Edition.  Se  trata  de  una 
actualization  como  consecuencia  de  la  perdida  del  juicio  antimonopolio  por  la 
integration  del  navegador  en  el  sistema  operativo.  Podia  ser  visto  como  un  Service 
Pack  para  Windows  98.  Actualizaba  el  navegador  a  Internet  Explorer  5.0  (que  ahora 
podia  desinstalarse  oficialmente,  o  al  menos  hacerlo  desaparecer  del  escritorio,  cosa 
imposible  con  otras  versiones),  mejor  soporte  para  USB,  DVD  y  la  correction  de 
otros  muchos  problemas  menores. 


La  agenda  electronica  mas  pequena  del  mundo  tiene  256  kilobytes  de  memoria. 


En  junio  nace  Napster,  lo  que  supondrfa  la  primera 
*  //  S  revolucion  de  comparticion  de  archivos  y  redes  de  pares 

en  Internet.Se  convertiria  en  un  programa  tremendamente 
popular  y  la  industria  arremeteria  contra  el  hasta  detener 
por  completo  el  proyecto.  En  2001  alcanzarfa  su  maxima  popularidad.  Se  trata  de  una 
red  centralizada  para  mantener  la  lista  de  usuarios  conectados  y  archivos  compartidos 
por  cada  uno  de  ellos.  Sin  embargo  las  transferencias  de  archivos  son  realizadas  entre  los 
propios  usuarios  sin  intermediarios.  No  permitia  “resumir”  por  lo  que  se  podia  perder  un 
archivo  por  completo  aunque  se  hubiese  descargado  al  99%  si  se  cortaba  la  conexion.  Tras 
varios  juicios  y  demandas  que  no  harian  mas  que  elevar  su  popularidad,  en  julio  de  2001 
un  juez  ordenaria  el  cierre  de  los  servidores  Napster.  En  mayo  de  2008  Napster  resurgiria 
bajo  el  reclamo  de  tienda  de  MP3. 


En  junio  Apple  comienza  a  comercializar  su  iBook  con  CPU  PowerPC  G3  entre  300  y  466  Mhz.  La 
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primera  version  viene  equipada  con  288  MB  de  RAM  y  3  gigas  de  disco  duro. 
Se  aplica  el  exitoso  diseno  de  los  ordenadores  de  sobremesa,  con  unas  formas 
innovadores  y  colores  translucidos.  Cuesta  mas  de  260.000  pts.  (unos  1.500 
euros)  Un  poco  mas  tarde  ese  mismo  ano  apareceria  el  Power  Macintosh  G4. 

_  En  la  una-al-dia  del  15  de  mayo,  “Galadriel,  una  semana  despues  ”  se  comienza 

a  incluir  el  titulo  de  la  noticia  en  el  asunto  del  correo  enviado. 


_  Se  decide  que  el  euro  valdra  166,386  pts. 


Cl 


a 


_  Es  un  ano  especialmente  virulento  en  cuestion  de  terremotos.  17.000  personas  mueren 
en  agosto  en  Turquia.  Este  pais  sufriria  mas  terremotos  ese  ano.  Tambien  temblaria  la  tierra  de  Grecia  e 
incluso  Espana. 


_  Silicon  Graphics  lanza  VirualWorkstation  540.  Permite  4  procesadores  Xeon  Pentium  II  a  450  Mhz 
y  hasta  2  Gigas  de  memoria.  Cuesta  cerca  de  un  millon  de  pts.  (6.000  euros). 


_  Philip  Morris  es  condenada  por  un  jurado  de  San  Francisco  a  pagar  7.250  millones  de  pesetas  (43 
millones  de  euros)  a  una  fumadora  con  cancer  de  pulmon  irreversible. 


_  En  octubre,  se  establece  simbolicamente  que  el  mundo  llega  a  estar  habitado  por  6.000  millones 
de  personas.  La  poblacion  crece  indiscriminadamente  desde  el  final  de  la  segunda  guerra  mundial  y 
continua  hasta  nuestros  dias.  En  1950  solo  existian  2.000  millones  de  seres  humanos.  En  2008  somos 
6.700  millones.  Se  esperan  los  9.000  millones  para  2042.  En  Espana  somos  40  millones  en  1999  y  46  en 
2008. 


_  Las  memorias  Compact  Flash  alcanzan  los  160  megas.  Un  escaner  600x1200  cuesta  casi  20.000  pts. 
(120  euros).  Una  grabadora  Yamaha  6x2x2x  (lee  a  6  velocidades,  graba  y  regraba  a  2)  cuesta  300  euros 
(50.000  pts). 

_  Se  lanza  FreeBSD  version  3  y  OpenLinux  1.3. 


Seguridad  Informatica 


A 


1 


_  Se  descubre  uno  de  los  primeros  troyanos  que  roba  cuentas  de  usuarios  de  America  _ 

Online.  Se  afiade  al  fichero  win.ini  para  asegurarse  la  ejecucion  en  cada  inicio.  El  troyano  '  w 

A  viene  en  forma  de  archivo  ejecutable  y  “cifra”  a  traves  de  una  simple 

transposition  de  caracteres  los  datos  robados,  que  son  enviados  a  una  direction  de 
America  correo  en  China.  Durante  todo  el  ano  se  descubriran  muchos  mas,  destinados  a  robar 
las  contrasenas  para  permitir  la  conexion  gratuita  a  Internet  a  traves  de  AOL  y  otros 
£>- - —  proveedores. 


_  Un  analista  de  SecureXpert  da  a  conocer  una  vulnerabilidad  que  afecta  a  todos  los  navegadores. 
La  vulnerabilidad  permite  al  autor  de  una  pagina  especialmente  manipulada  0  un  mensaje  correo  HTML, 
falsear  la  information  presentada  por  otro  sitio  web.  El  problema  es  comun  a  Microsoft  Internet  Explorer 
y  a  Netscape  Communicator,  y  se  debe  a  que  ambos  navegadores  no  pueden  evitar  que  un  sitio  web  pueda 
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reemplazar  un  frame  mostrado  por  otro  sitio  web  con  contenido  que  esta  bajo  el  control  del  atacante. 
El  fallo  se  descubrio  primero  en  Internet  Explorer  y  mas  tarde  se  observo  que  el  resto  tambien  eran 
vulnerables.  Todavla  estos  metodos  no  serian  usados  para  el  phishing,  un  concepto  que  llegaria  mucho 
despues,  al  igual  que  un  buen  numero  de  vulnerabilidades  parecidas  compartidas  entre  los  navegadores 
actuales. 

_  La  colegiala  irlandesa  Sarah  Flannery  de  16  anos,  desarrolla  un  algoritmo  de  clave  publica  basado 
en  matrices  2x2,  con  el  que  consigue  un  cifrado  fuerte  comparable  a  RSA  y  30  veces  mas  rapido.  Sarah 
no  piensa  patentar  el  codigo.  Su  padre  comenta  que  “a  ella  no  le  importa  el  ser  rica,  lo  que  realmente 
desea  es  hacer  participe  a  todo  el  mundo  de  la  felicidad  que  le  ha  proporcionado  su  descubrimiento”.  Lo 
llama  Cayley-Purser  en  honor  a  Arthur  Cayley,  un  experto  en  matrices  de  Cambridge  del  siglo  XIX,  y  a 
Michael  Purser,  un  criptografo  del  Trinity  College,  en  Dublin,  quienes  inspiraron  a  Sarah  en  su  desarrollo. 
Publicaria  un  libro  en  2001  y  posteriormente  se  descubriria  que  su  algoritmo  contenia  un  error  fatal, 
aunque  esto  no  lo  descartaba  totalmente  para  poder  ser  usado  bajo  ciertas  circunstancias.  Actualmente 
Sarah  trabaja  en  Electronic  Arts. 

_  Tras  el  virus  Strange  Brew,  la  plataforma  Java  se  ve  afectada  por  el  virus  BeanHive,  mucho  mas 
sofisticado  que  su  predecesor.  BeanHive  esta  destinado  a  conseguir  acceso  total  a  los  datos  de  los  usuarios 
a  traves  de  su  ejecucion  en  los  navegadores. 

_  Intel  llega  a  un  acuerdo  con  la  RSA  para  dotar  a  sus  futures  procesadores  de  capacidades  para  el 
cifrado  de  datos.  Se  habla  de  que  esta  tecnologia  permitira  facilitar  en  gran  medida  el  uso  del  cifrado  en 
red  e  impulsar  el  comercio  electronico,  una  gran  apuesta  en  aquel  momento. 

_  El  desafio  DES  III  se  rompe  en  el  tiempo  record  de  22  horas  y  15  minutos,  gracias  al  poder  de  unos 
100.000  ordenadores  y  un  superordenador  especialmente  disenado  por  la  EFF  (Electronic  Frontier 
Foundation)  conocido  como  “Deep  Crack”.  En  esta  ocasion  el  ya  mitico  ordenador,  (que  gano  por  si  solo  el 
anterior  concurso  en  menos  de  tres  dias)  colaboraba  con  distributed.net,  y  en  combination  se  probaban 
245.000  millones  de  claves  cada  segundo.  Se  demuestra  en  primer  lugar  la  debilidad  del  algoritmo  DES  y  la 
necesidad  de  buscar  un  nuevo  sustituto  de  forma  inmediata  (se  propuso  AES)  y  por  otro  lado  la  efectividad 
del  uso  de  la  informatica  distribuida  para  la  resolution  de  problemas  que  requieran  una  gran  potencia 
de  calculo.  El  escrito  tras  la  clave  oculta  la  siguiente  misiva  “See  you  in  Rome  (second  AES  Conference, 
March  22-23, 1999)”-  RC5-64  caeria  tres  anos  despues. 

_  Durante  el  transcurso  de  la  Conferencia  de  Seguridad  de  Datos  de  la  RSA  en  San  Jose,  companias  como 
IBM  0  Netscape  se  decantan  por  la  implantation  y  el  uso  del  estandar  PKI.  El  estandar  PKI  (Public  Key 
Infraestructure)  desarrollado  por  la  Internet  Engineering  Task  Force  (IETF),  esta  basado  en  el  uso  de  clave 
publica  y  pretende  asegurar  que  tanto  el  receptor  como  el  emisor  de  un  mensaje  son  realmente  quienes 
dicen  ser.  Ademas,  PKI  garantiza  que  la  integridad  de  los  datos  no  ha  sido  comprometida.  Representa 
el  primer  apoyo  firme  por  parte  de  la  industria  para  su  implementation.  Entre  las  diferentes  medidas 
adoptadas  por  IBM  se  encuentra  la  migration  de  30  millones  de  usuarios  de  Lotus  Notes  (principal 
competencia  de  Office  en  el  momento)  al  estandar  PKIX  (PKI  sobre  X.509).  En  esos  momentos  no  existian 
muchas  aplicaciones  que  soportasen  o  hicieran  uso  del  PKI. 

_  Juan  Carlos  Garcia  Cuartango  descubre  una  vulnerabilidad  en  Internet  Explorer  por  la  que  se 
deja  visible  el  portapapeles  en  Internet.  Las  reglas  de  seguridad  de  Microsoft  dejan  clara  la  prohibition 
del  acceso  al  contenido  del  portapapeles  a  los  scripts  de  Internet  Explorer  a  no  ser  que  sea  propiedad  del 
propio  Explorer,  pero  existe  un  medio  para  evadir  esta  protection  a  traves  del  uso  de  algunos  controles 
ActiveX  incluidos  en  MS  Forms  2.  La  vulnerabilidad  tambien  puede  ser  aprovechada  por  correo.  Cuartango 
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descubre  mas  tarde  que  no  es  necesario  usar  el  ActiveX.  Anos  despues  este  problema  del  portapapeles 
seguiria  coleando  con  Internet  Explorer. 

_  Segun  el  CERT,  algunas  de  las  copias  del  codigo  fuente  de  TCP  Wrappers  han  sido  modificadas  para 
incluir  en  ellas  un  troyano,  que  daria  la  posibilidad  a  un  intruso  a  entrar  en  un  sistema  remoto  por  el 
puerto  421  con  permisos  de  root.  Una  vez  compilado  este  troyano  es  capaz  de  mandar  information  a  una 
direction  de  correo  externa,  como  la  identification  del  lugar  y  de  la  cuenta  que  lo  ha  compilado. 

_  El  proyecto  Katmai  se  materializa  comercialmente  en  Pentium  III.  Se  dice  que  incluira  importantes 
medidas  para  fortalecer  la  seguridad  y  mejorar  las  condiciones  del  comercio  electronico.  Se  modifica  el 
generador  de  numeros  aleatorios,  hasta  ahora  basado  en  software,  a  pesar  de  que  todos  los  criptoanalistas 
confirman  las  debilidades  de  este  medio  para  crear  numeros  aleatorios.  A  la  larga  pueden  emerger  patrones 
numericos,  llegar  a  predecirse  el  numero  pseudoaleatorio  y  por  lo  tanto  descifrar  el  mensaje.  El  generador 
que  se  incluira  en  el  Pentium  III  determinara  el  numero  calculando  la  diferencia  entre  el  ruido  termico 
emitido  por  al  menos  dos  puntos  del  procesador. 

_  El  chat  hace  furor  en  la  red,  y  es  una  de  las  actividades  mas  realizadas  en  Internet.  mIRC  5.5,  el  programa 
cliente  IRC  en  Windows  por  excelencia,  se  convierte  en  una  importante  puerta  de  entrada  para  troyanos 
a  traves  de  comandos  DCC.  El  DCC  tambien  sirve  como  via  de  contagio  para  los  virus-scripts  de 
mIRC,  que  aprovechan  que  por  defecto  los  archivos  aceptados  por  DCC  se  almacenan  en  el  directorio 
junto  con  los  ficheros  de  scripts. 


______  El  tema  estrella  del  ano  es  el  “efecto  2000”,  pero  tambien  se 

aviso  de  que  la  entrada  del  Euro  (al  menos  al  ano  siguiente 
JSfc 1  entrana  como  moneda  de  curso  en  los  mercados  bulsatiles, 

mm  »  g  no  Hegaria  a  los  bolsillos  hasta  2001)  tambien  podria  causar 

K  problemas.  A  primeros  de  ano  un  gran  numero  de  informaticos 

se  ven  obligados  a  hacer  horas  extras  par  adaptor  todos  los 
sistemas  a  la  nueva  moneda  europea.  Se  piensa  que  los  fallos 
que  traera  consigo  no  permitiran  que  se  baje  la  guardia  durante 
mucho  tiempo  y  que  los  tres  proximos  anos  seran  susceptibles 
a  la  aparicion  de  errores  y  problemas  con  igual  probabilidad 
a  la  de  cualquier  otro  dia.  Microsoft  retira  del  mercado  toda  su  serie  de  programas  de 
contabilidad  domestica  Money  99  por  un  problema  de  adaptacion  de  la  nueva  moneda 
con  la  banco  online.  Money  99  incluye  unos  scripts  para  la  conversion,  pero  estos  se 
muestran  incapaces  de  acceder  a  los  servidores  bancarios  alemanes  a  pesar  de  ser 
compatibles.  La  linea  de  soporte  de  la  compania  recibe  mas  de  500  llamadas  diarias  con 
relacion  al  Euro  y  el  Money  99. 


Durante  todo  el  ano,  la  CIA  sigue  alarmando  sobre  el  problema  del  ano  2000.  El  nuevo 
milenio  podria  causar  serios  problemas  en  algunos  paises  en  los  sistemas  de  misiles, 
suministros  de  agua  y  gas,  reactores  nucleares,  etc.  El  vicesecretario  de  defensa 
estadounidense,  John  Hamre,  anuncia  que  segun  los  informes  de  inteligencia  en  su  poder, 
son  posibles  dificultades  en  los  envios  de  gas  en  la  antigua  Union  Sovietica.  Los  paises  en 
vias  de  desarrollo  como  China  podrian  sufrir  con  mayor  virulencia  la  entrada  del  milenio 
con  probables  danos  en  sectores  como  telecomunicaciones,  electricidad  y  banco. 
Los  paises  arabes  podrian  no  ser  conscientes  del  bug  del  2000  porque  se  rigen  por  un 
calendario  musulmdn.  Los  Estados  Unidos  hacen  culpables  de  los  posibles  fallos  de  sus 
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sistemas  a  la  falta  de  prevision  de  los  paises  aliados.  La  Comision  del  Senado  que  estudia 
el  problema  dice  al  respecto  “Los  estadounidenses  deben  prepararse  para  el  problema 
del  ano  2000  en  los  ordenadores  como  lo  harian  de  cara  a  un  huracan,  almacenando 
alimentos  enlatados  y  agua  embotellada”.  La  fantasia  sobre  el  efecto  2000  alimenta 
peliculas,  series  y  todo  tipo  de  articulos  catastrofistas. 

En  Espana  siguen  publicandose  estudios  acerca  del  ano  2000.  Segun  afirman  fuentes 
del  gobierno,  un  85%  de  los  sistemas  informaticos  de  la  administration  estan  dispuestos 
para  afrontar  el  ano  2000  sin  errores.  En  agosto  se  crea  la  Oficina  de  Transition  para  el 
Efecto  2000.  Este  nuevo  centro  de  coordinacion  viene  a  sustituir  a  la  Comision  Nacional 
del  Efecto  2000,  y  el  periodo  de  coordinacion  sera  de  seis  meses  que  comprenderan  entre 
octubre  de  1999  y  marzo  del  2000.  Sectores  como  el  nuclear  y  el  de  transporte  mantimo 
estan  preparados  totalmente  para  el  efecto  2000  y  otros  como  los  de  hidrocarburos 
poseen  una  adaptacion  del  95%.  Otro  sector  con  altos  indices  de  preparation  es  el  de 
ferrocarriles,  con  una  adaptacion  del  93%,  mientras  que  la  banco  con  un  90%  parece 
que  tampoco  tendra  problemas  para  tenerlo  todo  a  punto  para  el  31  de  diciembre.  El 
panorama  mas  inquietante  viene  por  parte  de  la  sanidad  publica  que  solo  dispone  de  un 
50%  de  sus  ordenadores  preparados.  Otro  problema  anadido  es  el  de  las  Comunidades 
Autonomas:  el  30%  no  ha  comenzado  la  adaptacion.  El  intercambio  de  informacion  entre 
administraciones  nacionales  y  autonomas  puede  dar  al  traste  con  los  ya  preparados 
ordenadores  del  Estado.  No  serla  para  tanto. 


_  Cisco,  Lucent,  NAi  y  Sun,  firman  un  acuerdo  para  unir  sus  fuerzas  a  favor  de  la  protection  de  los 
usuarios.  Se  crea  la  Security  Research  Alliance  para  compartir  avances  en  sus  investigaciones,  asi 
como  colaborar  en  el  desarrollo  de  nuevos  medios  y  aplicaciones  que  garanticen  la  defensa  de  los  sistemas 
informaticos.  La  alianza  tiene  como  meta  proporcionar  a  los  administradores  la  informacion  que  necesitan 
para  tomar  decisiones  a  largo  plazo.  Tambien,  en  la  cabeza  de  la  lista  de  prioridades  de  la  Alianza  se 
encuentra  la  detection  de  intrusos  y  la  respuesta  ante  este  tipo  de  incidentes.  La  mayoria  de  los  sistemas 
de  detection  de  intrusos  fijan  su  atencion  en  la  capa  de  aplicacion,  pero  la  Alianza  quiere  llegar  a  ser  capaz 
de  detectar  ataques  a  una  organization  desde  el  nivel  mas  bajo  de  las  capas  IP  hasta  en  los  niveles  altos  de 
aplicacion.  Con  la  perspectiva  del  tiempo,  el  efecto  real  del  proyecto  en  la  seguridad  no  seria  demasiado 
destacable. 

_  Bajo  el  nombre  de  Linux.Vit.4096  se  anuncia  la  aparicion  de  un  nuevo  virus  que  afecta  al  sistema 
operativo  Linux,  no  residente  en  memoria  y  capaz  de  replicarse  en  ejecutables  con  formato  ELF.  El 
proceso  de  infection  lo  lleva  a  cabo  insertando  su  codigo  (4096  bytes)  despues  de  la  cabecera  ELF  en 
la  primera  section  de  codigo  del  fichero.  La  primera  noticia  que  se  conoce  sobre  virus  para  Linux  se 
remonta  a  septiembre  de  1996,  cuando  en  algunas  news  se  difundio  en  un  mensaje  la  version  alpha  de 
Bliss,  considerado  como  el  primer  virus  para  Linux.  Por  aquel  entonces  fue  McAfee  el  primer  antivirus  en 
sacar  su  antidoto  al  mercado.  Los  productos  antivirus  para  Microsoft  anaden  este  virus  a  sus  firmas. 

_  Un  nuevo  virus  de  macro  (tipo  favorito  de  virus  durante  todo  1999),  W97M/Caligula,  roba  los  ficheros 
de  claves  del  programa  de  cifrado  PGP.  Un  ataque  posterior  a  estos  ficheros  por  fuerza  bruta  podria  permitir 
abrir  los  archivos  cifrados.  Copia  el  fichero  secreto  de  llaves  de  PGP  (SECRING.SKR)  y  lo  enviaba  a  traves 
de  FTP  al  servidor  de  su  creador.  Parece  que  la  unica  razon  por  la  que  este  virus  roba  el  fichero  de  PGP 
es  para  convertirse  en  el  primero  con  esta  caracteristica  y  obtener  asi  la  maxima  notoriedad.  Un  ataque 
mas  efectivo  podria  llevarse  a  cabo  introduciendo  capacidades  de  “keylogger”.  En  2008  se  detectaria  otro 
troyano  que  robaba  claves  PGP  y  obtendria  una  repercusion  mediatica  parecida. 
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_  En  febrero  se  detecta  el  primer  virus  que  elimina  virus.  W97M. Ethan  funciona  de  forma  similar 
a  la  mayoria  de  virus  de  macro  y  solo  infecta  ficheros  de  Word.  Ethan  borra  el  archivo  class.sys,  en  el  que 
se  esconde  el  virus  de  macro  W97M.Class.  Ahos  mas  tarde  se  observaria  una  guerra  virica  en  la  que  varios 
tipos  de  malware  se  centraron  en  eliminarse  mutuamente. 

_  La  administration  de  Estados  Unidos  sigue  intentando  restringir  la  exportation  de  productos 
criptograficos.  WatchGuard  Technologies  recibe  el  permiso  para  la  exportacion  de  software  de 
cifrado  de  128  bits.  La  concesion  otorga  libertad  para  exportar  el  componente  Virtual  Private  Network 
(VPN,  Red  Privada  Virtual)  del  Sistema  de  Seguridad  WatchGuard  (WatchGuard  Security  System)  a  41 
paises.  Esto  sienta  un  precedente  en  la  exportacion  de  material  criptografico. 


La  polemica  viene  de  la  mano  de  Intel  y  su  nuevo  Pentium  III  por  la  decision  de 
incorporarun  numero  de  identification  a  todos  los  chips.  Este  numero  conocido 
como  PSN  (Pentium  Serial  Number)  ofrece  la  posibilidad  de  acceder  a  el 
desde  las  aplicaciones.  Intel  justifica  la  inclusion  alegando  su  utilidad  para  las 
transacciones  electronicas.  La  medida  del  numero  identificativo  no  convence 
a  una  gran  parte  de  los  usuarios.  Para  acallar  las  quejas,  Intel  opta  por  ofrecer  los  chips  con 
dos  posiciones  para  el  acceso  al  codigo.  Por defecto,  los  procesadores  se  distribuiran  con  la 
caracteristica  cerrada,  dejando  al  usuario  la  decision  de  activarla  mediante  un  programa 
proporcionado  por  la  propia  companfa.  Intel  asegura  que  no  seria  posible  acceder  al 
numero  de  serie  si  el  usuario  deja  desactivada  dicha  option,  pero  la  revista  CEBit  anuncia 
que  uno  de  sus  ingenieros  ha  desarrollado  un  programa  capaz  de  acceder  al  numero  de 
serie  incluso  sin  que  el  usuario  lo  haya  permitido.  Se  pone  a  disposition  de  todos  la  web 
http://www.zks.net/p3  para  que  a  traves  de  ActiveX  se  pueda  leer  el  famoso  numero  de 
serie  de  Pentium  III.  Si  se  puede  acceder  por  software  sin  permiso  del  usuario,  tambien  sera 
posible  modificarlo,  o  devolver  un  numero  falso  cuando  se  solicite.  Se  crea  una  campana 
anti-Intel,  mofandose  de  su  logo  http://www.bigbrotherinside.com/.  En  diciembre  de  ese 
mismo  ano,  el  Parlamento  Europeo,  aconsejado  por  un  grupo  de  expertos  en  seguridad 
informatica,  se  plantearia  la  posibilidad  de  prohibir  la  instalacion  de  procesadores  Intel 
Pentium  III  en  Europa.  Finalmente,  la  polemica  terminaria  en  marzo  de  2000,  cuando  Intel 
decide  eliminar  el  numero  de  serie  en  su  proximo  familia  de  procesadores. 


_  Aparece  un  gusano  con  multiples  tecnicas  reproductoras.  IRC-Worm.Septic  es  capaz  de  reproducirse 
por  multiples  vias,  desde  el  IRC,  hasta  los  ficheros  html  0  los  BAT. 

_  Se  publicala  nueva  version  de  NetBus  Pro,  la  2.0.  Los  troyanos  de  acceso  remoto  a  traves  de  un  puerto 
abierto  en  la  victima  estan  en  pleno  auge.  NetBus  rivaliza  en  popularidad  con  el  conocido  Back  Orifice.  El 
troyano  permite  la  obtencion  de  information  de  los  sistemas  remotos,  cache  de  contrasenas,  subir  y  bajar 
ficheros,  capturas  de  teclado  y  pantallas  del  ordenador  remoto  o  la  posibilidad  de  incorporar  plug-ins. 
NetBus  permite  ahora  escuchar  a  traves  del  microfono,  capturar  desde  dispositivos  de  video  (webcams), 
acceso  y  edition  del  registro,  chatear  y  hasta  la  incorporation  de  un  programador  de  tareas  para  ejecutar 
scripts  en  un  momento  determinado  sin  necesidad  de  que  el  cliente  “atacante”  este  conectado.  NetBus 
Pro  2.0  incorpora  soporte  multilingue  y  solo  pesa  1.7  megas.  El  puerto  TCP  que  utiliza  para  escuchar 
las  conexiones  es  el  20034.  En  hexadecimal  obtendremos  4E42,  y  estos  dos  bytes  pasan  a  ser  en  ASCII 
“NB”,  iniciales  de  NetBus.  Mas  tarde,  Back  Orifice  anunciaria  su  nueva  version  durante  la  convention  de 
tematica  underground  Undercon  7,  celebrada  en  julio  en  Las  Vegas.  Cult  of  Dead  Cow  (Culto  de  la  vaca 
muerta)  presenta  la  Back  Orifice  2000  (o  BO2K). 
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_  En  marzo  se  descubre  que  Windows  puede  bloquearse  pasados  49,7  dias  de  uso  continuado. 
Microsoft  ofrece  un  parche  para  solucionar  este  problema.  Son  muchos  los  usuarios  que  ante  este  anuncio 
se  preguntan  en  que  condiciones  ha  conseguido  Microsoft  mantener  una  maquina  con  estos  sistemas 
operativos  funcionando  mes  y  medio  de  forma  continuada  para  poder  reproducir  el  fallo. 

_  Los  sistemas  informaticos  estadounidenses  siguen  sufriendo  ataques  de  hacktivistas.  Curt  Weldon 
representante  del  Departamento  de  Defensa  de  los  Estados  Unidos,  lleva  a  cabo  una  investigacion 
sobre  estas  intrusiones.  Los  intentos  de  introducirse  dentro  de  los  sistemas  informaticos  de  la  defensa 
norteamericana  se  realizan  de  forma  coordinada  y  organizada.  Segun  el  Pentagono,  Rusia  ha  sido  el  origen 
de  estos  ataques.  Weldon  anade  “podriamos  decir  que  estamos  en  guerra”. 

_  Microsoft  admite  el  uso  de  un  numero  identificativo  en  Word  y  Excel  que  permite  reconocer  de 
forma  unica  a  los  autores  de  estos  documentos.  La  confirmation  sale  a  la  luz  justo  durante  la  polemica 
existente  con  el  numero  de  serie  de  los  Pentium  III,  por  lo  que  Microsoft  reconoce  rapidamente  la  amenaza 
a  la  intimidad  de  los  usuarios  que  constituye  este  codigo.  Dice  que  se  trata  de  un  error  de  programacion  y 
que  sera  solucionado  en  la  proxima  Service  Release  de  Windows  98.  Para  aquellos  usuarios  que  ya  tienen 
instalado  el  sistema  operativo,  la  compania  ofrece  una  utilidad  para  desactivarlo. 


En  marzo  irrumpe  Melissa  y  los  medios  se  vuelcan.  Llega  la  epoca  dorada  de  los  virus  de 
Macro,  basados  en  documentos  Office.  Es  tal  su  propagacion  que  llegaria  a  colapasar  los 
sistemas  de  correo  con  emails  infectados.  Aunque  no  fue  disenado  en  primera  instancia 
para  provocar  dano  alguno,  causa  el  caos  en  la  red.  Se  distribuye  a  traves  del  grupo 
de  discusion  alt.sex,  dentro  de  un  fichero  .DOC  que  contiene  contrasenas  para  acceder 
a  paginas  pornograficas  de  pago.  Aparecerian  posteriormente  decenas  de  variantes, 
como  por  ejemplo  el  virus  de  macro  Papa  que  se  basa  en  su  codigo. 

Hispasec  realizaria  en  su  una-al-dia  del  28  de  marzo  de  1999  un  extensisimo  analisis  sobre 
este  especimen. 


_  Un  error  en  los  Kernel  Linux  inferiores  a  2.0.36  posibilita  ataques  IP  Spoofing  de  forma  trivial,  sin 
necesidad  de  tener  acceso  a  la  red  local  de  la  maquina  atacada,  ni  de  realizar  prediction  de  numeros  de 
secuencia  TCP.  Muchas  pilas  TCP  implementadas  en  aquellos  momentos,  ofrecian  numeros  de  secuencia 
de  paquetes  correlativos,  favoreciendo  ataques  que  permiten  el  envenenamiento  de  trafico. 

_  Se  designa  el  AES  (Avanced  Encryption  Standard)  como  algoritmo  que  sustituye  a  DES.  El  NIST 
(National  Institute  of  Standards  and  Technology)  es  el  encargado  de  la  election  del  metodo  de  cifrado 
destinado  a  convertirse  en  un  estandar  internacional.  Los  mejores  criptografos  creen  que  el  AES  durara 
como  estandar  unos  50  anos.  En  marzo  la  RSA  patenta  un  sistema  para  interactuar  entre  criptosistemas 
de  curvas  elipticas,  lo  que  se  supone  sera  el  futuro  de  la  criptografia. 

_  Se  lanza  Internet  Explorer  5.0  y  reaparecen  los  agujeros  de  Cuartango.  Guninski  descubre  un  nuevo 
fallo  que  permite  leer  y  enviar  ficheros  locales  a  un  servidor  remoto.  Se  descubre  que  durante  la  instalacion 
se  modifican  las  propiedades  en  el  salvapantallas  sin  avisar  al  usuario,  lo  que  podria  acarrear  problemas 
en  la  seguridad  a  nivel  local  en  determinadas  configuraciones.  Durante  los  siguientes  meses  Cuartango  y 
Guninski  seguirian  encontrando  vulnerabilidades  en  el  navegador. 

_  En  abril  se  descubre  que  los  ordenadores  PC  Aptiva  de  la  serie  240,  301,  520  y  580  fabricados  por  IBM 
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entre  los  dias  5  y  17  de  marzo  de  1999  pueden  estar  infectados  por  el  virus  CIH. 

_  Un  agujero  basado  en  JavaScript  permite  que  usuarios  de  eBay,  el  famoso  sitio  de  subastas,  roben 
contrasenas  de  otros  miembros  legitimos.  Cualquier  usuario  del  sistema  que  utilice  un  navegador  con 
JavaScript  habilitado  puede  ser  victima.  El  fallo  se  debe  a  que  existe  la  posibilidad  de  incluir  codigo 
JavaScript  como  parte  de  las  descripciones  de  los  objetos  que  se  proponen  a  subasta. 

_  La  policia  taiwanesa  no  toma  ninguna  accion  contra  el  joven  programador  del  virus  CIH.  Por  el 
contrario,  se  dice  que  el  creador  de  Melissa  podria  ser  condenado  a  una  pena  de  hasta  40  anos  de 
prision. 

_  En  mayo  Hispasec  descubre  el  primer  virus  para  Corel  Draw,  GaLaDRieL.  Basado  en  Corel  Script, 
el  lenguaje  de  programacion  para  la  automatization  de  tareas  y  guiones  de  Corel  Draw.  No  tiene  efectos 
daninos.  Ante  el  anuncio  publico  y  exclusivo  de  Hispasec,  la  reaction  que  demuestran  las  casas  antivirus 
y  los  medios  en  general  es  diversa.  Desde  las  que  solicitaban  una  muestra  del  virus,  pasando  por  las  que 
se  apresuran  en  hacer  llegar  sus  actualizaciones  para  combatirlo,  hasta  las  menos  afortunadas  que  piden 
un  fichero  binario  infectado. 

_  Se  descubre  el  virus  Girigat,  cuya  principal  caracteristica  es  su  capacidad  de  automutar:  su  forma  de 
funcionar  varia  cada  vez  que  cambia  de  ordenador.  El  virus  puede  ser  residente  por  proceso  (por  medio 
de  API  “hooking”)  o  “runtime”,  0  incluso  ambos.  Tambien,  en  caso  de  funcionar  por  medio  de  accion 
directa,  es  capaz  de  trabajar  o  bien  en  el  directorio  actual,  0  bien  en  el  de  Windows,  0  bien  en  ambos.  Por 
ultimo,  Girigat  es  capaz  de  infectar  CPL  (paneles  de  control),  EXE  (ejecutables  PE)  y  SCR  (salvapantallas). 
Puede  resultar  en  63  variantes  distintas  de  un  mismo  malware.  Los  creadores  de  malware  se  lucen  con 
especimenes  muy  sofisticados. 

_  Las  boyante  escena  virica  espanola  del  momento  crea  Veneno,  un  virus  de  macro  para  la  version 
espanola  de  Word,  a  la  zaga  de  Melissa  y  Papa.  Luego  apareceria  ZippedFiles,  tambien  aprovechando  el 
codigo  de  Melissa. 

_  En  mayo  nace  HushMail,  un  proyecto  de  exito  que  perduraria  hasta  nuestros  dias  y  que  proporciona 
privacidad,  mediante  un  sistema  de  cifrado  de  Have  publica,  a  traves  de  un  cliente  de  correo  via  Web 
usando  un  applet  de  Java.  Se  presentan  como  la  alternativa  a  otros  sistemas  que  resultan  mas  complicados 
a  la  hora  del  intercambio  de  claves  criptograficas,  el  coste  del  software  y  las  limitaciones  que  supone  las 
leyes  de  exportation  de  los  EE.UU. 

_  Tambien  en  mayo  Hispasec  inaugura  su  servidor  de  llaves  PGP  basado  en  LDAP  (Lightweight 
Directory  Access  Protocol).  Se  comienzan  a  firmar  criptograficamente  las  noticias. 

_  En  junio  se  hace  publico  un  grave  agujero  de  seguridad  en  Internet  Information  Server  4.0  para 
Windows  NT  4.0.  eEye  Digital  Security  Team  advierte  del  peligro  de  la  existencia  de  un  problema  de 
desbordamiento  de  memoria  intermedia  que  permite  la  ejecucion  de  codigo.  El  exploit  es  trivial  y  publico. 
Si  se  envia  una  orden  “GET  /[sobrecargaj.htr  HTTP/1.0”,  donde  [sobrecarga]  es  una  cadena  de  unos  3 
Kbytes,  el  Internet  Information  Server  trata  de  leer  la  pagina  solicitada,  pero  la  isapi.dll  (por  defecto 
en  todos  los  IIS)  no  realiza  una  comprobacion  apropiada.  El  agujero  despierta  el  interes  de  todos,  son 
millones  los  servidores  vulnerables.  eEye  publica  un  parche  no  oficial.  Microsoft  lanza  un  comunicado. 
Muchas  paginas  web  amanecen  desfiguradas.  Microsoft  publica  la  actualization  oficial  tres  dias  despues 
del  descubrimiento. 
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_  Julio  Cesar  Hernandez,  consultor  de  IP6  Seguridad,  descubre  WinSATAN,  un  nuevo  troyano  que 
resulta  una  version  para  Windows  de  la  herramienta  de  auditoria  de  seguridad  para  Unix  SATAN. 

_  Las  conexiones  por  cable  y  ADSL  se  popularizan  gracias  a  las  primeras  ofertas  de  tarifa  plana  y  router 
gratis.  En  aquellos  momento  se  obtenia  una  direction  IP  fija  por  defecto  y  sin  pagar  mas  por  ello.  Se 
alerta  sobre  los  potenciales  peligros  de  la  conexion  permanente  con  una  direction  fija,  que  favorece  un 
seguimiento  del  usuario  al  que  se  pretende  atacar. 

_  Las  pilas  TCP  de  Windows  no  toleran  cabeceras  IGMP  mal  construidas.  Cuando  se  recibe  un  paquete 
de  tales  caracteristicas,  la  pila  falla  de  forma  impredecible,  con  resultados  como  un  clasico  bloqueo  con  la 
pantalla  azul  o  un  reinicio  automatico.  Se  descubre  un  nuevo  “ping  de  la  muerte”. 

_  En  junio  salta  la  polemica  a  causa  de  un  grave  problema  de  seguridad  en  Hotmail,  el  servicio  de 
cuentas  de  correo  gratuitas  mas  empleado  del  mundo.  En  julio,  Georgi  Guninski  descubre  un  medio  por 
el  que  se  puede  conseguir  robar  la  contrasena  del  usuario  que  se  desee.  Descubriria  todavia  algun  otro 
metodo  mas  durante  el  ano.  En  agosto  dos  sitios  web,  uno  en  el  Reino  Unido  y  otro  en  Suecia,  permitian 
acceder  a  cualquier  cuenta  de  Hotmail  conociendo  su  nombre  de  usuario,  sin  necesidad  de  suministrar 
la  contrasena.  El  correo  confidential  de  los  cerca  de  50  millones  de  usuarios  de  Hotmail  ha  estado  a 
disposition  de  cualquiera.  www.lettera.net,  el  popular  webmail  ya  desaparecido,  sufriria  el  mismo 
problema  meses  despues. 

_  En  julio  se  descubre  que  el  sistema  de  cifrado  en  MacOS  es  bastante  debil.  La  combination  de 
los  valores  hexadecimales  que  componen  la  contrasena  a  traves  de  sencillas  operaciones  XOR,  junto  con 
valores  fijos,  bastan  para  realizar  la  inversion  del  cifrado. 

_  La  quinta  encuesta  anual  sobre  la  influencia  de  virus  informaticos  realizada  por  la  ICSA  refleja 
interesantes  datos  sobre  el  incremento  de  las  infecciones  viricas  en  los  ultimos  meses,  a  pesar 
de  que  la  mayoria  de  ordenadores  y  servidores  tienen  instalado  algun  tipo  de  software  antivirus.  En 
enero  y  febrero  de  1999  el  porcentaje  de  infecciones  por  mes  y  por  cada  cien  ordenadores  es  el  doble 
que  la  tasa  de  1998  y  cuadriplica  la  de  1997.  La  encuesta  es  realizada  entre  300  companias  americanas  y 
organizaciones  gubernamentales  con  un  total  de  mas  de  800.000  ordenadores  representados.  Tambien 
se  refleja  el  aumento  en  el  uso  de  software  antivirus,  un  83  %  de  los  entrevistados  tienen  al  menos  un 
90%  de  los  PCs  protegidos  con  software  antivirus.  La  mayoria  de  los  PCs  (60%)  estan  protegidos  en  todo 
momento  con  algun  tipo  de  antivirus  residente.  En  torno  a  un  43%  de  los  entrevistados  ha  sufrido  algun 
desastre  por  infection  vinca  en  algun  momento,  con  un  indice  de  mas  de  25  ordenadores  infectados  al 
mismo  tiempo.  Y  una  gran  mayoria,  un  80%,  ha  tardado  mas  de  50  horas  en  recuperarse  de  un  ataque  de 
este  tipo.  Toda  la  encuesta  refleja  la  importancia  de  la  protection  antivirus,  asi  como  la  actualization  del 
software  y  la  education  de  los  usuarios. 

_  En  agosto  la  pagina  oficial  de  la  Moncloa  sufre  un  ataque  y  modifican  una 
fotografia  del  presidente  de  aquel  momento,  Jose  Maria  Aznar,  anadiendole  cuernos 
y  una  boca  chorreando  sangre.  “Espana  NO  VA  BIEN”,  escribieron  ademas  los 
atacantes. 

_  Hispasec  descubre  el  sistema  de  cifrado  de  WS_FTP,  un  popular  cliente  FTP. 

_  Nace  MSN  Messenger,  el  exitoso  intento  de  Microsoft  por  derrocar  al  imperante  ICQ  del  momento 
en  el  campo  de  la  mensajeria  instantanea.  MSN  Messenger  Service  1.0  nace  sin  version  en  espanol  y 
reduciendo  drasticamente  el  tamano  y  los  recursos  necesitados  por  ICQ.  MSN  Messenger  se  trata  de  un 
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diminuto  ejecutable  de  324kb.  ICQ  ya  pesaba  varios  megas  en  1999.  A  finales  de  ano  se  descubriria  que 
almacenaba  las  contrasenas  con  cifrado  debil. 

_  En  octubre  RealNetworks  admite  que  una  de  sus  aplicaciones,  RealJukebox,  registra  los  habitos  y 
actividades  de  los  usuarios.  La  aplicacion  envia  los  datos  a  RealNetworks  sin  el  conocimiento  del  usuario. 
RealNetworks  recopila  informacion  de  mas  de  13  millones  de  usuarios  registrados  de  RealJukebox: 
tipo  de  mfisica,  el  formato  de  los  ficheros,  o  el  nfimero  de  canciones  almacenadas  en  su  disco  duro.  Esta 
informacion  es  acompanada  de  un  numero  finico  (GUID)  que  identifica  al  usuario  y  per  mite  a  RealNetworks 
mantener  una  base  de  datos  con  los  habitos  individuales  de  cada  uno  de  los  usuarios.  La  intimidad  se  ve 
constantemente  amenazada  en  la  red. 

_  A  final  de  ano  Cuartango  descubre  un  grave  fallo  en  Outlook  y  Outlook  Express.  La  vulnerabilidad 
permite  la  ejecucion  de  cualquier  programa  tras  abrir,  por  medio  de  doble  click,  un  fichero  adjunto 
aparentemente  multimedia,  que  en  realidad  seria  un  ejecutable  sin  advertencia  alguna.  Microsoft  lo 
corregiria  10  dias  despues. 

_  Se  hace  pfiblica  documentation  tecnica  y  software  para  decodificar  y  copiar  discos  DVDs, 
saltandose  las  protecciones  criptograficas  disenadas  para  este  sistema,  denominadas  CSS  (Content 
Scrambling  System). 

_  En  diciembre  aparece  Babylonia,  el  primer  virus  autoactualizable  por  Internet  por  medio  de  “plug¬ 
ins”.  Un  agente  infeccioso  que  refine  las  habilidades  de  un  gusano  en  cuanto  a  su  distribution,  de  un  virus 
en  cuanto  a  la  infection  de  ficheros,  y  de  un  troyano  de  “backdoor”  en  lo  que  a  las  actualizaciones  se  refiere. 
Seria  un  comportamiento  habitual  del  malware  varios  afios  despues. 


Una  al  dia 


07/01/1999  RSA  evita  la  regulation  criptografica  de  EE.UU. 

RSA  Data  Security  ha  abierto  una  filial  en  Australia,  de  esta  manera  consigue  liberarse  de  las  regulaciones 
comerciales  impuestas  por  los  EE.UU.  en  materia  de  exportation  criptografica.  La  RSA  fue  fundada  en 
1982  por  los  inventores  del  criptosistema  de  Have  publica  (RSA  PKC),  River,  Shamir  y  Adleman.  Hoy  dia 
la  RSA  se  ha  convertido  en  sinonimo  de  criptografia,  con  mas  de  300  millones  de  copias  de  sus  sistemas 
de  cifrado  y  autentificacion. 

Hasta  el  momento,  la  RSA  tenia  que  regular  su  software  teniendo  en  cuenta  la  politica  de  la  administration 
Clinton,  que  impide  exportar  productos  cuyos  algoritmos  criptograficos  superen  la  barrera  de  los  56-bit. 
Segfin  el  gobierno  de  los  EE.UU.,  longitudes  mas  largas  hacen  los  cifrados  mas  dificiles  de  romper,  y  en 
consecuencia  podria  ayudar  a  encubrir  informacion  a  los  criminales. 

El  resultado  final  es  que  los  que  soportan  estas  restricciones  son  los  usuarios  y  empresas  que  se  ajustan 
a  la  ley.  Con  respecto  a  los  criminales,  parece  claro  que  haran  caso  omiso  de  estas  restricciones,  y  por 
descontado  no  van  a  utilizar  los  algoritmos  faciles  de  romper  para  que  el  gobierno  de  los  EE.UU.  pueda 
tener  acceso  a  su  informacion. 

Para  evitar  estas  restricciones  la  RSA  ha  instalado  en  Australia  una  sucursal,  dentro  de  un  ambiente 
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regulador  mucho  menos  riguroso,  donde  podran  desarrollar  y  comercializar  software  de  cifrado  fuerte. 
Los  analistas  dicen  que  con  este  movimiento  la  RSA  consigue  un  gran  avance  al  poder  competir  en  igualdad 
de  condiciones  con  sus  rivales. 

La  RSA  (www.rsa.com)  llevaba  varios  meses  negociando  con  el  Departamento  de  Comercio  de  los  EE.UU. 
para  cerciorarse  de  que  la  nueva  empresa  australiana  no  violara  el  codigo  comercial.  Tras  estos  encuentros, 
el  departamento  accedio  con  la  condition  de  que  no  se  utilizara  a  ningun  empleado  6  tecnologia  de  los 
EE.UU.  en  la  filial  australiana. 

Para  cumplir  el  acuerdo,  la  RSA  compro  una  compania  australiana  que  reconstruyo  los  algoritmos 
basandose  en  especificaciones  disponibles  publicamente.  Con  esta  medida,  la  RSA  se  ahorra  el  coste  que 
suponia  el  obtener  una  licencia  comercial  para  cada  producto  suyo  que  superara  el  cifrado  de  56-bit. 

SUN  Microsystems  habia  intentado,  con  anterioridad,  la  misma  estrategia  a  traves  de  la  empresa  rusa 
Elvis-Plus,  de  la  que  poseia  el  10%.  En  aquella  ocasion  el  Departamento  de  Comercio  de  los  EE.UU.  junto 
con  la  Agenda  de  Seguridad  Nacional  (NSA)  decidieron  paralizar  el  intento  de  SUN.  La  NSA  requirio  y 
analizo  el  codigo  fuente  de  los  algoritmos  de  SUN  y  Elvis-Plus,  determinando  que  habia  indicios  de  la 
tecnologia  de  SUN  en  los  fuentes  de  la  compania  rusa. 


Bernardo  Quintero 


15/03/1999  Windows  98  un  peligro  para  la  intimidad 

Cuando  todavia  esta  reciente  la  information  acerca  de  los  problemas  del  numero  identificativo  generado 
por  las  aplicaciones  mas  conocidas  de  Microsoft  y  que  se  envia  al  registrar  Windows  98,  surgen  nuevos 
avisos  de  ataque  a  la  privacidad  en  torno  a  Windows  98. 

Cualquier  sitio  web  puede  leer  la  information  que  identifica  uniquivocamente  cada  usuario  y  su  ordenador, 
pero  incluso  estos  datos  pueden  ser  modificados  y  enviados  a  Microsoft,  todo  ello  sin  el  conocimiento  ni 
la  autorizacion  del  usuario. 

Windows  98  hace  uso  de  RegWiz  para  procesar  el  formulario  de  registro  del  sistema  operativo  y  enviarlo 
a  Microsoft  a  traves  de  Internet.  A  partir  de  la  configuration  del  ordenador  y  los  datos  introducidos  por  el 
usuario  en  el  formulario  de  registro  se  generan  dos  mimeros  que  permiten  identificar  de  forma  unica  al  PC 
y  al  usuario.  A  traves  del  Numero  de  Identification  de  Hardware  (hardware  identification  number,  HWID) 
se  puede  determinar  de  forma  inequivoca  el  ordenador  del  usuario,  mientras  que  a  traves  del  Microsoft 
ID  (MSID),  se  puede  precisar  el  usuario.  Este  segundo  dato  se  localiza  en  una  cookie  para  el  acceso  a  los 
servicios  del  web  de  Microsoft. 

Pero  las  funciones  de  RegWiz  van  mucho  mas  lejos,  ya  que  permite  que  tanto  el  HWID  como  el  MSID 
queden  al  alcance  de  cualquier  sitio  web,  e  incluso  permite  su  modification.  Esto  quiere  decir  que  cualquier 
sitio  web  puede  leer  los  mimeros  o  por  otra  parte  modificarlos,  todo  ello  sin  el  conocimiento  del  usuario. 
Se  puede  encontrar  una  demostracion  de  como  una  pagina  web  puede  leer  y  modificar  los  mimeros  en 
www.winmag.com/web/regwiz.htm. 

Todo  parece  indicar  que  la  problematica  es  mucho  mayor  de  lo  que  en  principio  parecia,  ya  RegWiz  tambien 
tiene  la  posibilidad  de  enviar  toda  la  information  acerca  del  PC,  el  hardware  y  las  aplicaciones  que  se 
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ejecutan  sobre  el,  a  Microsoft  sin  el  conocimiento,  ni  la  autorizacion  del  usuario. 

Microsoft  pondra  a  disposition  de  los  usuarios  un  parche  y  una  herramienta  que  permitiran  borrar 
todo  rastro  de  estos  numeros  de  su  ordenador  y  documentos.  La  compania  tambien  asegura  que  esta 
caracteristica  estara  totalmente  desabilitada  en  el  ya  inminente  Office  2000. 


Antonio  Ropero 


30/03/1999  Problemas  en  los  nuevos  navegadores 

Tanto  Netscape  como  Microsoft  brindan  a  los  usuarios  las  ultimas  y  mas  actualizadas  versiones  de  sus 
navegadores,  pero  ninguno  se  libra  de  los  problemas  de  seguridad.  Las  dos  companias  brindan  navegadores 
mas  rapidos,  mas  evolucionados  y  con  mejores  caracteristicas,  todo  con  objeto  de  obtener  una  mayor  cuota 
de  usuarios  que  su  competidor.  Pero  que  ocurre  con  la  seguridad  de  los  usuarios.  A  los  pocos  dias  de  su 
aparicion  publica  ya  se  han  encontrado  errores  y  problemas  en  ambos  productos. 

Georgi  Guninski  habitual  por  sus  descubrimientos  en  torno  a  Netscape  ha  encontrado  el  primer  fallo 
propio  en  la  version  4.51  de  Communicator  para  Windows  95,  tambien  existente  en  la  anterior  4.5  y  4.08 
para  Windows  NT.  El  problema  permite  espiar  y  obtener  la  url  que  se  esta  visitando  en  otra  ventana  del 
navegador. 

Pero  los  problemas  no  solo  rodean  a  Netscape  ya  que  el  novedoso  Explorer  5.0  de  Microsoft  sigue  inmerso  de 
problemas  con  relation  al  portapapeles.  Juan  Carlos  Garcia  Cuartango  ya  detecto  varias  vulnerabilidades, 
de  las  que  nos  hicimos  eco  en  su  momento,  en  torno  a  la  visibilidad  del  contenido  del  portapapeles  con 
Explorer  4.  Hemos  podido  comprobar  como  algunos  de  aquellos  problemas  que  estaban  parcheados  en  la 
anterior  version,  no  lo  estan  en  la  edition  espanola  del  nuevo  navegador. 

El  propio  Cuartango  avisa  sobre  un  cambio  en  la  politica  de  seguridad  de  Explorer  5,  en  el  nuevo  navegador 
se  pueden  realizar  operaciones  de  pegado  desde  cualquier  origen  del  portapapeles.  La  conclusion  es  clara, 
la  politica  de  seguridad  de  este  elemento  es  menos  restrictiva  en  Explorer  5  que  en  la  anterior  version. 
Juan  Carlos  lo  advierte  claramente,  «la  realidad  es  que  los  usuarios  de  Internet  Explorer  5  estan  perdiendo 
privacidad». 

Antonio  Ropero 


13/04/1999  Virus  y  troyanos  indescifrables,  a  la  busqueda  de  objetivos 
desconocidos 

Aunque  hasta  el  momento  la  mayoria  de  los  virus  y  troyanos  que  hacen  uso  de  tecnicas  criptograficas  lo 
hacen  con  fines  exclusivamente  de  “prueba  de  concepto”  o  demostracion,  en  el  futuro  es  previsible  que  esas 
mismas  tecnicas  sean  empleadas  para  ocultar  el  objetivo  de  esos  programas,  ya  no  de  los  investigadores 
que  intentan  analizarlos,  iisino  tambien  de  si  mismos!!. 

Efectivamente,  las  claves  necesarias  para  descifrar  el  virus,  en  la  actualidad,  estan  accesibles  en  el  propio 
codigo  del  programa,  ya  que  este  las  necesita  para  descifrarse  a  si  mismo  antes  de  ejecutar  el  “payload”. 
Aunque  esas  claves  pueden  estar  protegidas  mediante  intrincadas  rutinas  cuyo  unico  fin  es  mantener 
alejados  los  ojos  curiosos,  no  pueden  ocultarse  indefinidamente  contra  un  investigador  con  medios  y 
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tiempo  para  afrontar  la  tediosa  la  tarea  de  analizar  el  funcionamiento  del  especimen. 

No  obstante  el  estado  del  arte,  en  el  ambito  criptografico,  permitirla  desarrollar  programas  vlricos, 
caballos  de  troya,  gusanos,  etc.,  protegidos  mediante  cifrado,  pero  cuya  clave  de  apertura  no  aparece  en  el 
codigo,  sino  en  el  entorno  de  ejecucion  del  programa.  Elio  hace  que  el  codigo  no  solo  este  protegido  contra 
miradas  indiscretas,  sino  que  ni  el  mismo  “sepa”  cual  es  su  objetivo  o  que  esta  buscando...  hasta  que  lo 
encuentre. 

Supongamos  un  gusano  polimorfico.  Una  vez  descifrado  el  polimorfismo  (algo  que  se  puede  hacer  con 
conocimientos  y  experiencia)  comprobamos  que  el  programa  se  dedica  a  recorrer  el  disco  duro,  leer  los 
ficheros  que  no  haya  chequeado  en  la  ejecucion  anterior,  dividirlos  en  porciones  de  21  bytes  “solapados”,  y 
calcular  una  funcion  HASH  sobre  ellos. 

El  resultado  de  ese  HASH  se  usa  como  clave  para  descifra  un  segmento  del  gusano.  Para  verificar  si  el 
descifrado  es  correcto,  basta  con  mantener  algun  tipo  de  control  de  integridad. 

21  bytes  nos  dan  168  bits  de  entropia.  iiEso  es  un  numero  de  56  cifras!!. 

£Que  puede  estar  buscando?.  Nunca  lo  sabremos...  i  ihasta  que  lo  encuentre! ! .  Eso  es  asi  porque  el  descifrado 
solo  sera  correcto  cuando  de  con  lo  que  busca. 

Y  como  el  gusano  revisa  todos  los  ficheros  del  disco  duro,  independientemente  de  en  que  directorio  esten 
o  que  extension  tengan,  no  tenemos  ninguna  pista  de  por  donde  empezar.  r'.Quc  busca?.  fUn  email?.  f.Un 
programa  concrete?.  iUn  numero  de  licencia  determinado?.  No  lo  sabemos. 

Y  lo  que  es  peor...  Tampoco  sabemos  que  acciones  hara  cuando  lo  encuentre. 


Jesus  Cea  Avion 


03/06/1999  Absuelto  el  principal  acusado  del  “Caso  Hispahack” 

“No  apareciendo,  por  tanto,  que  fuese  el  acusado  quien  altero  los  programas  contenidos  en  el  sistema 
informatico  de  dicha  Universidad,  no  cabe  llegar  a  otro  pronunciamiento  que  el  de  su  libre  absolution”.  Asi 
termina  la  sentencia  del  juez  Juan  Carlos  Llavona  Calderon  y  un  capitulo  de  la  historia  del  “hacking”  espanol, 
que  llevo  al  banquillo,  el  pasado  26  de  marzo,  al  principal  inculpado,  alias  JFS,  22  anos,  administrador 
de  sistemas  informaticos  y  miembro  del  grupo  IHispahack  (!H).  El  llamado  “Caso  Hispahack”  estallo  a 
primeros  de  abril  de  1998,  cuando  el  grupo  de  Delitos  Informaticos  de  la  Guardia  Civil  detuvo,  acusadas 
de  revelation  de  secretes  y  danos  informaticos,  a  cuatro  personas  apodadas  STK,  Magne,  JFS  y  JR. 
Finalmente,  la  presion  judicial  se  concrete  en  JFS,  para  quien  el  fiscal  pedia  una  pena  de  dos  anos  de 
prision  y  multa  de  dieciocho  meses,  por  “un  acceso  no  autorizado  a  traves  de  Internet”  a  ordenadores  de  la 
Universitat  Politecnica  de  Catalunya  (UPC),  el  11  de  septiembre  de  1997.  Se  descubrio  que  el  intruso  tenia 
privilegios  de  administrador  en  dieciseis  maquinas,  cinco  de  las  cuales  tenian  instalado  un  programa 
sabueso  para  cazar  datos  que,  aquel  11  de  septiembre,  el  visitante  recogio  y  transfirio  a  un  ordenador  de 
Palma  de  Mallorca. 

Aunque  el  juez  considera  estos  hechos  como  probados  y,  por  tanto,  no  da  validez  a  las  reclamaciones 
del  abogado  de  la  defensa,  Carlos  Sanchez  Almeida,  sobre  nulidad  de  las  pruebas,  inexistencia  de  delito 
o  descriminalizacion  de  Internet,  si  admite  que  “tales  sospechas  no  alcanzan  la  categoria  de  indicios 
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bastantes  como  para  desvirtuar  totalmente  la  presuncion  de  inocencia”  de  JFS.  Segun  la  sentencia,  no 
queda  probada  la  identidad  del  misterioso  intruso,  se  pierde  su  rastro  y,  en  el  ordenador  de  Mallorca, 
dice  el  juez  “el  acceso  se  hallaba  al  alcance  de  cualquiera  que  lo  hiciese  a  traves  del  usuario  “Hispahack””. 
Igualmente,  recuerda  que,  segun  los  peritos,  “no  se  hallaba  ningun  fichero  de  password  (sic)  de  la  UPC” 
en  los  ordenadores  de  JFS. 

A  pesar  del  alivio  del  abogado  defensor,  quien  asegura  “el  caso  IHispahack  ha  sido  la  piedra  de  toque  de  la 
libertad  de  expresion  en  Internet  en  este  pais.  Afortunadamente  para  el  sistema  de  libertades,  el  sistema 
judicial  funciona”;  la  sentencia  se  muestra  firme  en  algunos  puntos  que  interesaran  a  la  comunidad 
informatica,  como  la  no  necesidad  de  una  denuncia  previa  a  la  investigation  en  casos  de  danos,  la 
afirmacion  del  derecho  de  las  fuerzas  de  seguridad  a  obtener  datos  sobre  usuarios  de  proveedores  de 
acceso  sin  autorizacion  judicial  o  la  respuesta  del  juez  a  las  insinuaciones  de  la  defensa  de  que  el  “hack 
bianco”  no  deberia  estar  penado:  “(Son)  conductas  que,  en  cuanto  suponen  de  agresion  contra  el  interes 
del  titular  de  un  determinado  sistema  de  que  la  information  que  en  el  se  contiene  no  sea  interceptada, 
resultan  tanto  mas  reprobables,  y  aun  merecedoras  de  sancion  penal”. 


Merce  Molist 


29/06/1999  Tres  anos  de  virus  para  Windowsgx/NT 

Estan  a  punto  de  cumplirse  los  tres  primeros  anos  desde  la  aparicion  de  Bizatch  (Wings. Boza  segun  la 
nomenclatura  CARO),  el  primer  virus  del  mundo  para  plataformas  Windows  de  32  bits  (Windowsgx/NT), 
y  parece  que  es  hora  de  hacer  recapitulaciones  y  estudiar  la  expansion  del  fenomeno  virico  en  este  nuevo 
terreno. 

Una  nueva  plataforma,  un  nuevo  sistema  operativo,  ha  traido  como  consecuencia  la  desaparicion  de 
ciertos  tipos  clasicos  de  virus,  y  la  consiguiente  llegada  de  sus  sustitutos  naturales.  Ademas  es  de  vital 
importancia  resaltar  el  hecho  de  que  el  cambio  ha  sido  un  proceso  progresivo  y  paulatino,  una  adaptation 
darwiniana  a  los  nuevos  esquemas  funcionales. 

El  cambio  mas  radical  ha  sido  el  de  la  “defuncion”  de  los  famosos  virus  de  “boot”,  que  no  han  sido  capaces 
de  encontrar  su  sitio  en  Windows,  a  pesar  de  haber  sido  desde  siempre  numeros  uno  en  las  listas  de 
virus  “in  the  wild”  durante  la  etapa  del  DOS.  El  progresivo  relevo  generacional  lo  tomaron  los  virus  de 
macro,  que  por  su  sencillez  estructural  y  su  caracter  multiplataforma  han  sido  una  autentica  mina  para  los 
escritores  de  virus  que  no  se  manejaban  en  ensamblador.  Dicen  que  en  muchas  ocasiones  lo  mas  sencillo 
es  lo  que  triunfa,  y  en  el  caso  de  los  virus  de  macro  este  dicho  se  ha  hecho  bueno:  su  progresion  en  cuanto 
a  numero  ha  sido  geometrica,  y  llevan  copando,  practicamente  desde  sus  origenes,  los  primeros  puestos 
de  las  listas  “in  the  wild”. 

Por  su  parte,  los  virus  de  fichero  siguen  siendo  los  mas  “artisticos”.  Desde  la  aparicion  de  Bizatch,  el 
primero  de  la  saga,  paso  algun  tiempo  hasta  que  empezo  a  darse  un  flujo  normal  de  production  de  virus  de 
estas  caracteristicas.  En  un  principio  se  trataba  mas  bien  de  “virus  de  museo”,  y  asi  se  fueron  sucediendo 
especimenes  como  Mr.Klunky,  Punch,  Harry...  el  paso  definitivo  de  la  experimentation  a  la  funcionalidad 
vino  de  la  mano  del  escritor  de  virus  peruano  del  grupo  2gA,  Jacky  Qwerty,  el  primero  en  abrir  las  puertas 
a  los  virus  al  mundo  de  la  compatibilidad  Win32,  y  famoso  por  haber  sido  el  pionero  en  numerosas  tecnicas 
de  programacion,  como  la  residencia  por  proceso. 
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De  esta  manera  se  ha  llegado,  con  el  paso  de  los  meses,  a  una  paulatina  desaparicion  de  los  virus  de 
fichero  de  DOS,  que  han  cedido  el  terreno  a  sus  sucesores  de  Win32.  Esto,  por  otra  parte,  ha  desembocado 
en  una  triple  vertiente:  en  lineas  generates,  los  unicos  virus  de  DOS  de  los  que  hemos  tenido  noticia  en 
los  ultimos  meses  estan  caracterizados  por  un  alto  nivel  tecnico,  siendo  el  Emperor  el  ultimo  ejemplo 
mas  significativo;  por  su  parte,  los  virus  de  Win32  en  un  principio  comenzaron  siendo  extremadamente 
“naive”,  y  no  tuvieron  que  pasar  muchos  meses  para  que  empezasen  a  salir  a  la  luz  ejemplares  de  una  gran 
complejidad  tecnica,  de  la  mano  de  aquellos  escritores  de  virus  experimentados  en  DOS  cuyo  proceso 
de  adaptation  a  Win32  fue  un  simple  cambio  de  habitos  de  programacion.  Este  doble  carril  ha  venido 
siendo  la  nota  dominante  del  panorama  Win32  hasta  el  ultimo  ano  aproximadamente,  epoca  en  la  que  la 
situation  se  ha  normalizado,  trayendo  como  consecuencia  la  predominancia  de  virus  de  nivel  estandar 
para  plataformas  Win32. 

Por  otra  parte,  la  versatilidad  de  Windows  ha  tr aido  consigo  la  aparicion  de  nuevos  tipos  de  virus  hasta  ahor a 
desconocidos,  nuevas  amenazas  que,  a  pesar  de  haber  sorprendido  a  propios  y  extranos  en  el  momento  de 
su  aparicion,  no  han  causado  demasiados  quebraderos  de  cabeza  a  las  casas  antivirus.  Entre  los  tipos  de 
virus  de  nueva  generation  mas  importantes  cabria  destacar  los  dos  grupos  principales:  I-Worms  y  virus  de 
WSH.  Mientras  que  los  segundos  no  parece  que  vayan  a  suponer  una  seria  amenaza,  a  pesar  de  ser  capaces 
de  infectar  HTML  y  procesos  VBS  y  JS,  los  primeros  estan  compitiendo  en  los  ultimos  meses  seriamente 
con  los  virus  de  macro  en  la  cabeza  de  las  listas  “in  the  wild”. 

Los  I-Worms  son  los  primeros  resultados  viricos  de  la  amoldacion  total  a  la  integracion  a  la  red  de 
los  ordenadores  por  medio  de  Windows:  estos  agentes  infecciosos  se  limitan  a  infectar  y/o  parchear 
unicamente  lo  imprescindible,  y  su  mayor  amenaza  esta  en  su  capacidad  de  reproducirse  por  medio  de  la 
red,  o  bien  valiendose  del  e-mail,  0  bien  de  mensajes  en  newsgroups  0  enviandose  por  FTP.  En  el  ultimo 
semestre  hemos  tenido  ocasion  de  oir  acerca  de  las  “andadas”  de  ejemplares  de  este  tipo  como  Parvovirus, 
Happy,  PrettyPark  o,  en  la  filtima  semana,  Zipped_Files.  Aparte  de  estos,  otros  dos  virus,  Melissa  y 
Papa,  de  macro,  tambien  coparon  posiciones  privilegiadas  en  los  “top-ten”  de  la  ITW,  llegando  el  primero 
hasta  el  punto  de  ver  involucrado  al  FBI  en  la  detention  de  su  autor,  un  escritor  de  virus  aparentemente 
desconocido  en  la  escena. 

En  cualquier  caso  la  rapida  difusion  “in  the  wild”  no  es  algo  exclusivo  de  I-Worms  y  virus  de  macro:  ahi 
estan  los  ejemplos  de,  en  un  principio,  Marburg  -que  llego  a  ser  distribuido  en  el  CD  de  un  simulador 
de  vuelo  y  de  la  conocida  revista  de  difusion  europea  “PC  Gamer”-  y  HPS,  y,  en  una  segunda  etapa,  el 
extendidisimo  CIH  y  el  versatil  Girigat,  que  ha  llegado  a  colapsar  los  sistemas  administrativos  del  gobierno 
de  Grecia.  Es  curioso  observar  tambien  que,  mientras  que  Estados  Unidos  y  la  Union  Europea  se  disputan 
el  numero  de  autorias  de  virus  casi  por  igual  -con  Sudamerica  y  Europa  del  Este  a  los  talones-,  un  gran 
numero  de  las  infecciones  que  se  registran  cada  ano  tienen  su  origen  a  lo  largo  de  todo  el  continente 
asiatico  con  especial  intensidad. 

El  futuro  y  la  evolucion  son  inciertas,  aunque  lo  que  parece  claro  es  que  los  virus  tienden  a  ser  cada 
vez  mas  complejos,  debido  a  las  exigencias  de  la  nueva  plataforma,  y  que  el  camino  esta  abierto  hacia  la 
integracion  con  Internet.  Los  limites  estan  en  la  propia  imaginacion  de  los  escritores  de  virus,  y  el  unico 
freno  que  existe  es  el  propio  tiempo,  que  es  el  que  va  trayendo  consigo  dia  a  dia  las  innovaciones  en  el 
terreno  de  Win32.  La  duda  esta  en  si  las  companias  antivirus  van  a  ser  capaces  de  seguir  el  ritmo  frenetico 
de  la  evolucion  virica  o  si,  por  el  contrario,  se  veran  finalmente  desbordadas  por  la  imaginacion  del  lado 
oscuro  de  la  programacion. 


Giorgio  Talvanti 
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16/08/1999  Escuchas  y  censura  en  Internet 

El  parlamento  de  Japon  aprobo  la  semana  pasada  una  polemica  ley  que  da  derecho  a  los  policlas  a  interceptar 
las  comunicaciones,  como  pueden  ser  las  llamadas  telefonicas  o  los  emails  en  Internet.  La  justificacion  se 
enmarca  dentro  de  las  necesidades  que  los  agentes  tienen  para  perseguir  al  crimen  organizado. 

En  realidad  se  aprobaron  tres  leyes  que  tenian  como  fin  la  lucha  contra  el  crimen  organizado  pero,  como 
era  de  esperar,  la  polemica  salto  en  la  que  daba  carta  blanca  a  la  interceptacion  de  las  comunicaciones. 

El  gobierno  insiste  en  que  esta  medida  ayudara  a  los  agentes,  y  que  solo  sera  utilizada  en  los  casos  en  los 
que  se  vean  implicados  asuntos  de  drogas,  armas,  asesinatos  y  en  la  entrada  de  grupos  organizados  a 
Japon. 

Sin  embargo,  las  explicaciones  del  gobierno  no  terminan  de  convencer  a  la  gran  masa  social,  que  ve  con 
miedo  la  posibilidad  de  que  esta  ley  dane  los  derechos  mas  basicos  sobre  privacidad  e  intimidad.  A  fin 
de  cuentas,  se  supone  que  los  grupos  organizados  utilizaran  sistemas  criptograficos  fuera  del  alcance  del 
gobierno,  con  lo  que  para  muchos  los  argumentos  esgrimidos  son  solo  una  mala  justificacion  de  cara  al 
control  de  las  comunicaciones  del  ciudadano. 

Mientras  tanto,  en  Australia,  Internet  tambien  se  encuentra  en  el  ojo  del  huracan  de  la  clase  politica.  En 
esta  ocasion,  dentro  de  la  normativa  que  rige  los  servicios  de  difusion,  se  esta  intentando  implantar  la 
censura  en  cuanto  a  los  contenidos  accesibles  en  la  Red. 

En  principio,  se  quiere  hacer  hincapie  en  el  material  pornografico  y  el  clasificado  de  alto  riesgo,  como 
puede  ser  la  construction  de  bombas.  El  gobierno  se  escuda  en  que  las  medidas  han  sido  fruto  de  la 
petition  popular,  donde  los  padres  han  ejercido  mucha  presion  preocupados  por  los  contenidos  nocivos 
que  sus  hijos  pueden  encontrar  en  la  Red. 

De  nuevo  todo  parece  indicar  que  el  perjudicado  sera  el  ciudadano  de  a  pie,  ya  que  las  medidas  a  tomar  no 
impediran  a  las  personas  con  los  medios  o  conocimientos  necesarios  saltarse  este  tipo  de  censuras  y  seguir 
accediendo  a  todos  los  contenidos.  Por  otro  lado,  ya  existe  en  el  mercado  software  de  control  parental, 
destinado  a  restringir  contenidos  clasificados  a  los  mas  pequenos,  por  lo  que  de  nuevo  la  argumentation 
del  gobierno  parece  estar  fuera  de  lugar. 


Bernardo  Quintero 


28/09/1999  Cifrado  seguro  utilizando  una  simple  baraja  de  poker 

Bruce  Schneier  ha  disenado  un  algoritmo  de  cifrado  seguro  que  emplea  unicamente  una  baraja  de  poker  de 
54  cartas.  Se  trata  de  un  algoritmo  de  cifrado  en  ristra  0  flujo  (“stream”,  en  ingles),  y  ha  sido  disenado  para 
que  sea  sencillo  y  facil  de  realizar  a  mano,  sin  apoyo  informatico.  El  algoritmo  se  llama  “solitaire”  y  fue 
creado  para  la  novela  Cryptonomicon,  de  Neal  Stephenson,  publicada  esta  primavera.  El  algoritmo  se  basa 
en  mover  las  cartas  del  mazo  siguiendo  una  serie  de  pasos,  y  combinar  sus  resultados  con  el  documento  a 
cifrar.  La  clave  esta  constituida  por  la  disposition  initial  de  las  54  cartas  de  la  baraja  de  poker,  por  lo  que 
su  fortaleza  aparente  es  de  54!  (54  factorial),  aproximadamente  236  bits. 

Se  da  la  curiosa  circunstancia  de  que  este  algoritmo  parece  lo  bastante  seguro  como  para  que  sea 
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considerado  como  tecnologla  de  doble  uso  (como  las  minas  o  las  balas  de  ametralladora)  por  parte  del 
gobierno  estadounidense.  Este  hecho  podria  suponer  la  ilegalidad  de  exportar  el  conocimiento  de  dicho 
algoritmo  a  palses  extranjeros. 

Sin  embargo  la  legislacion  de  EE.UU.  protege  la  libertad  de  expresion  escrita,  por  lo  que  se  permitiria  la 
exportation  sin  problemas  si  el  algoritmo  se  describiese  en  un  libro  editado  de  forma  legal,  con  ISBN,  etc. 
Y  eso  es  precisamente  lo  que  se  hace  en  la  novela  de  Neal  Stephenson,  en  la  que  “solitaire”  aparece  como 
un  apendice. 

Parece  increible  que  un  algoritmo  criptografico  tan  sencillo,  que  puede  memorizarse  y  utilizarse  de  forma 
manual,  pueda  estar  sujeto  a  legislacion  militar.  Pero  la  legislacion  norteamericana  es  asi.  En  cualquier  caso 
Bruce  Schneier  ha  tornado  la  iniciativa  y  ha  decidido  publicar  una  pagina  web  en  la  que  describe  con  todo 
detalle  el  algoritmo,  proporciona  ejemplos,  consejos  de  uso,  codigo  fuente  para  los  que  deseen  utilizarlo 
con  un  ordenador  y  vectores  de  prueba  para  comprobar  que  las  implementaciones  son  correctas. 

El  documento  original  esta  escrito  en  ingles,  pero  Jesus  Cea  Avion  se  ha  encargado  de  traducirlo  al 
Castellano  y  hablar  con  Bruce  Schenier  para  que  anada  enlaces  a  la  traduction.  En  este  momento,  ademas 
de  la  version  en  ingles  y  la  version  en  Castellano  recientemente  traducida,  existen  tambien  traducciones 
oficiales  el  frances  y  al  aleman. 


Jesus  Cea  Avion 


Entrevista 


Merce  Molist  Ferrer  es  periodista  freelance  especializada  en  Internet.  Ha 
escrito  sobre  la  red  en  diversos  medios  desde  1995.  Actualmente  colabora  en  los 
suplementos  “Ciberpais”  y  “El  Pais  Semanal”,  (ambos  del  diario  “El  Pais”)  las 
revistas  “@rroba”  y  “Popular  Science”,  mantiene  el  blog  Port666,  imparte  charlas  y  Merce  Molist  Ferrer 
acaba  de  poner  en  marcha  el  wiki  Hack  Story,  sobre  la  historia  de  la  cultura  hacker. 

Fue  la  primera  periodista  en  hacer  referenda  a  Hispasec  en  un  medio  de  nivel  nacional,  y  actualmente  nos 
sigue  contactando  cuando  lo  necesita.  Es  probablemente  la  periodista  mas  veterana,  conocida,  respetada 
e  involucrada  con  la  red  en  Esparia. 

Hispasec:  Una  reflexion  sobre  la  seguridad  en  Internet  desde  1998... 

Merce  Molist  Ferrer:  Miro  los  articulos  que  escribi  aquel  ano  y  me  doy  cuenta  de  que  en  esencia  no 
ha  cambiado  mucho.  Entonces  escribia  sobre  virus,  spam,  perdida  de  privacidad,  cons  de  hackers  (aquel 
ano  fui  al  Chaos  Communication  Congress  y  al  hackmeeting  italiano,  que  era  la  primera  vez  que  se  hacia). 
Y  tambien  aquel  ano  tuvimos  el  juicio  a  IHispahack.  Ahora  tenemos  virus,  spam,  perdida  de  privacidad, 
cons  y,  en  vez  de  persecution  a  hackers,  persecution  a  gente  relacionada  con  el  P2P  (que  algunos  son  los 
hackers  de  entonces).  Asi  que...  poco  ha  cambiado  a  grandes  rasgos.  Se  sigue  investigando  y  rompiendo 
lo  que  se  puede  (ahora  hay  mas  cosas  para  romper),  el  sistema  sigue  sin  entender  nada  y  el  usuario  sigue 
siendo  igual  de  ignorante  en  temas  de  seguridad,  solo  que  ahora  hay  mas  usuarios  y  les  imponen  por 
decreto  unos  programas  (antivirus,  cortafuegos)  que  no  saben  usar. 

?Que  ha  cambiado?  Que  muchos  hackers  que  conoci  entonces  ahora  trabajan  como  consultores  de 
seguridad.  Que  la  actividad  criminal  ha  pasado  de  1  a  too.  Que  en  vez  de  meterte  un  virus  tonto  ahora  te 
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roban  dinero  o  datos  personales.  Que  empresas  y  gobiernos  estan  (o  lo  parecen)  mas  concienciados  por  el 
tema  seguridad.  Que  las  empresas  de  seguridad  venden  mas  motos.  Que  todo  se  ha  hecho  bastante  mas 
comercial,  en  ambos  bandos....  Y  que  cansada  de  la  inseguridad  de  Windows  me  he  pasado  a  Linux. 

En  lo  que  a  mi  trabajo  como  periodista  se  refiere,  el  cambio  mas  importante  es  que  hay  menos  informacion 
buena  sobre  seguridad.  Quiero  decir :  ha  aumentado  muchisimo  la  informacion  en  Internet  sobre  seguridad, 
es  impresionante,  no  doy  abasto  con  los  RSS,  pero  es...  insipida.  No  son  fuentes  directas,  no  vienen  del 
hacker,  de  su  web,  de  su  ezine,  sino  que  mayoritariamente  vienen  de  las  empresas  o  de  intereses  diversos. 
Se  ha  caido  en  lo  mismo  que  vemos  en  los  telediarios:  que  todos  dan  las  mismas  noticias,  la  mayoria 
incorrectas  y  salidas  de  intereses  oscuros. 

Y,  sobre  todo,  sobre  todo,  ha  desaparecido  el  humor,  la  idea  del  juego  que  impregnaba  los  asaltos,  los 
descubrimientos,  la  forma  de  contarlos...  Ahora  todos  somos  profesionales,  los  de  antes  y  los  de  ahora, 
se  perdio  por  el  camino  buena  parte  de  la  creatividad,  del  arte...  y,  con  ellos,  la  gran  mayoria  de  grupos 
hacker,  de  aqui  y  de  fuera. 

Pero  advierto  que  es  una  vision  subjetiva.  Ahora  tengo  la  sensation  de  haberlo  visto  todo  y,  en  cambio,  en 
el  98  me  lo  estaba  pasando  pipa.  Hacia  algunos  anos  que  escribia  sobre  Internet  y  sentia  mucha  curiosidad 
por  la  comunidad  y  su  underground,  a  los  que  habia  dedicado  diversos  articulos.  Era  mi  forma  de  aprender: 
escribir  un  articulo,  que  requeria  que  me  documentase-estudiase,  y  asi  cada  reportaje  era  como  hacer  un 
master. 

Entonces,  El  Pais  abrio  el  suplemento  Ciberpais,  en  el  98,  y  me  pidieron  que  escribiese  para  ellos  y  que  me 
encargase  de  los  temas  de  seguridad  y  hacking.  Asi,  lo  que  hasta  entonces  era  simple  curiosidad  paso  a  ser 
trabajo  pagado.  c,Que  mas  podia  pedir?  Y  pude  dedicarme  a  saciar  esta  curiosidad  con  una  buena  excusa. 
Entonces  fue  cuando  me  puse  a  “estudiar”  seguridad  mas  a  fondo  que  antes.  iComo?  Leyendo  todos  los 
numeros  de  SET  y  otros  ezines,  aprendiendo  hasta  altas  horas  de  la  noche  que  era  aquello  del  “spoofing” 
y  de  los  envenenamientos  y  el  buffer  overflow  y  otros  esoterismos  para  una  persona  de  letras.  Mande  un 
mail  de  presentation  a  todos  los  grupos  hacker  hispanos  que  conocia,  ofreciendome  a  escribir  articulos 
sobre  sus  logros,  y  algunos  me  respondieron  y  otros  me  ignoraron.  Y,  en  general,  fue  una  epoca  altamente 
excitante,  de  aprendizaje,  de  leerme  entero  el  Jargon  File  y  otros  libros  electronicos  sobre  el  underground 
de  aqui  y  de  fuera  (aun  los  tengo  impresos),  “SnowCrash”  en  ingles,  que  te  juro  que  no  entiendes  nada,  y 
otros  sobre  hacking,  virus,  el  “Hackers,  heroes  of  the  computer  revolution”... 

Conoci  a  gente  flipante.  Aprendi  cosas  sorprendentes.  Todo  era  informacion  nueva  y  genial.  Se  me  abrio  la 
mente  como  jamas,  aquello  era  “food  for  thought”  en  estado  puro.  Interiorice  hasta  el  fondo  de  mi  corazon 
esta  actitud,  esa  comunidad,  esa  diversion  y  curiosidad  intelectual.  fComo,  dime,  como  puedo  pensar  que 
lo  que  ha  venido  despues  sea  mejor?  Pero  es  subjetivo,  ya  digo,  porque  para  alguien  que  este  aprendiendo 
ahora,  estos  son  los  “exciting  days”  :). 

H:  fcCual  y  como  fue  tu  primer  contacto  con  Hispasec? 

MMF:  Conocia  a  algunas  personas  de  Hispasec  antes  de  que  se  crease  la  empresa.  Se  que  primero  fue 
“Una-al-dia”  y  que  me  suscribi  desde  bastante  pronto,  pero  no  recuerdo  los  detalles. 

H:  tEstas  suscrita  a  una-al-dia?  tLas  lees? 

MMF:  Si,  estoy  suscrita.  Y  si,  al  menos  el  titular  me  lo  miro.  Si  me  interesa,  leo  el  articulo.  Y  si  me  interesa 
mucho,  mas  de  una  vez  he  decidido  escribir  yo  misma  un  articulo  sobre  este  tema,  contactando  con  su 
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autor  en  una-al-dia  y  pidiendole  mas  information. 

H:  fcCuantas  entrevistas  has  hecho?  fcQuien  te  ha  impactado  mas  de  todas  tus  entrevistas? 

MMF:  No  tengo  ni  idea  de  cuantas  entrevistas  he  hecho  en  mi  vida.  La  que  me  impacto  mas  no  tiene  nada 
que  ver  con  Internet  y  hace  tantos  anos  que  esta  perdida,  no  existe  en  formato  digital.  Era  una  entrevista 
a  un  antropologo  que  explicaba  sus  experiencias  con  unos  indios  del  Amazonas,  su  forma  de  vivir,  su 
filosofia,  me  impactaron.  En  cuanto  a  entrevistas  relacionadas  con  Internet...  muchas.  Me  gusta  hablar 
con  personas  que  tengan  puntos  de  vista  abiertos,  alternatives,  que  te  puedan  sorprender  con  una  idea 
inesperada,  que  vibren  en  tu  misma  sintonia  y  que  sean  autenticos  maestros.  En  este  sentido,  destacan 
Wau  Holland,  me  encantaba  hablar  con  el,  mucho,  Ricardo  Dominguez  y  Richard  Stallman. 

H:  fcCual  es  el  sitio  mas  interesante  en  el  que  has  estado  por  trabajo? 

MMF:  Los  hackmeetings  italianos.  Alb  descubri,  en  vivo,  lo  que  era  el  sentimiento  de  comunidad. 

H:  c'.Piensas  que  se  ha  perdido  el  “romanticismo”  de  aquellos  primeros  dias  en  la  red? 

MMF:  Si.  En  aquellos  dias  (yo  no  estoy  desde  los  primeros,  ni  mucho  menos),  quien  estaba  en  Internet 
era  porque  era  alguien  genial,  avispado,  inteligente.  En  resumen:  “raro”.  Daba  la  sensation  de  que  todos 
los  parias  del  primer  mundo  estaban  en  la  red.  Parias  en  el  sentido  de  incomprendidos  por  la  sociedad, 
especialmente  por  sus  geniales  mentes  y  visiones  del  mundo.  Entonces,  la  red  era  un  reflejo  de  esas  mentes 
pioneras  y,  claro,  habia  una  calidad  flipante. 

H:  fcComo  y  por  que  te  metiste  en  esto? 

MMF:  Por  curiosidad.  Trabajaba  como  “freelance”  y  estaba  suscrita  a  la  revista  “Newsweek”,  para  ver  por 
donde  iba  el  mundo  y,  si  acaso,  sacar  ideas  para  reportajes.  Vi  que  hablaban  todo  el  dia  de  una  cosa  llamada 
Internet,  de  la  que  no  se  hablaba  en  Espana.  Puse  la  antena  e  investigue  como  entrar.  Entonces  colaboraba 
en  “La  Vanguardia”  y  me  las  apane  para  poder  ir  un  dia  a  la  semana  y  usar  su  Internet,  basicamente  la  web, 
para  sacar  documentation  para  reportajes.  El  unico  proveedor  en  Espana  entonces  era  Goya  y  sus  precios 
era  prohibitivos  para  mi.  Cuando  abrio  Servicom,  en  el  95,  me  apunte.  Fue  una  odisea,  para  alguien  que 
no  tenia  amigos  informaticos  y  solo  sabia  usar  el  WordPerfect  y  cuatro  cosas  de  MS-DOS.  Aun  hoy  no 
entiendo  como  consegui  yo  sola  hacer  funcionar  aquel  modem.  Debian  ser  enormes  mis  ganas  :). 

H:  tPor  donde  andaran  los  tiros  en  seguridad  en  el  futuro? 

MMF:  Se  normalizara.  Sera  como  hoy  en  el  mundo  real.  Hay  inseguridad,  se  maneja  fatal,  esta  todo  el 
sistema  mal  montado,  las  carceles  no  sirven,  la  policia  tampoco,  funciona  fatal,  pero  se  va  tirando.  Por 
una  parte,  porque  hay  cierto  orden  dentro  de  lo  que  es  la  inseguridad  y,  por  otra  parte,  porque  nos  hemos 
acostumbrado  y  no  nos  llevamos  las  manos  a  la  cabeza  por  cosas  que  quiza  nuestros  abuelos  si  se  llevaban 
las  manos  a  la  cabeza.  Se  normalizara.  A  costa  de  un  control  ferreo  y  de  la  perdida  de  muchos  derechos, 
eso  tambien  hay  que  decirlo.  1984  era  un  juego  ante  lo  que  viene. 

H:  6 A  que  dedicas  mas  tiempo  ultimamente? 

MMF:  A  las  cosas  de  fuera  de  la  red  que  olvide  cuando  estaba  obsesionada  con  ella,  empezando  por 
mi  misma.  Y,  dentro  de  la  red,  hace  poco  he  encontrado  un  nuevo  juego  que  me  tiene  abducida:  montar 
un  wiki  con  la  historia  de  la  comunidad  hacker  espanola.  La  razon  es  la  siguiente:  un  dia,  mirando  las 
pocas  historias  de  la  Internet  espanola  que  se  han  escrito,  me  di  cuenta  de  que  la  gente  que  yo  conoci,  los 
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autenticos  hackers,  los  que  de  verdad  construyeron  la  red,  no  salian.  Solo  se  mencionaba  a  senores  con 
corbata,  instituciones  y  empresas  especialistas  en  colgarse  medallas. 

Si  alguien  no  lo  explica,  las  generaciones  futuras  creeran  que,  realmente,  esa  gente  invento  nuestra  red  y 
el  recuerdo  de  aquellos  hackers  desaparecera  para  siempre.  Llamame  justiciera  :). 


Una  al  dia.  Once  anos  de  seguridad  informatica  - 1999  - 
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Durante  este  ano... 


_  En  enero,  AOL  (America  On-Line)  anuncia  un  acuerdo  para  comprar  la  empresa 
Time  Warner  por  162.000  millones  de  dolares.  Resulta  en  la  fusion  de  empresas  mas 
grandes  del  mundo,  creando  todo  un  imperio. 

_  Despues  de  “Volver  a  empezar”  de  Jose  Luis  Garci  en  1983,  y  “Belle  Epoque”  de  Fernando  Trueba  en  1994, 
Pedro  Almodovar  recibe  el  Oscar  a  la  mejor  pelicula  de  habla  no  inglesa  con  “Todo  sobre  mi  madre”, 
recogiendo  el  premio  de  manos  de  Penelope  Cruz  y  Antonio  Banderas  despues  de  un  escandaloso  grito. 

_  En  marzo,  el  Ministerio  de  Sanidad  permite  a  los  cientificos  realizar  experimentos  geneticos  en 
pacientes. 

_  En  la  una-al-dia  del  23  de  marzo,  ‘V.Quc  son  los  “hypes”  y  como  nos  afectan?”  Giorgio  Talvanti  escribe 
“Como  no  podria  ser  de  otra  manera,  el  que  suscribe  se  centra  una  vez  mas  en  su  especialidad,  el  campo 
de  los  virus  informaticos  y  demas  especimenes  agrupables  bajo  el  hiperonimo  de  “malware”.  Usando 
por  primera  vez  esta  ultima  palabra. 

_  El  Partido  Popular  alcanza  mayoria  absoluta  en  las  elecciones  legislativas  de  marzo,  dejando  muy  atras 
al  candidato  del  PSOE  Joaquin  Almunia.  Jose  Maria  Aznar  renueva  asi  su  mandato  cuatro  anos. 

_  En  noviembre  de  1999  Elian  Gonzales  de  6  anos  huye  de  Cuba  hacia  Estados  Unidos.  En  el  trayecto 
realizado  con  una  barcaza  muere  (entre  otros)  la  madre.  Los  supervivientes  alcanzan  las  costas  de  Florida 
despues  de  varios  dias  a  la  deriva.  El  pequeno  es  rescatado  por  dos  Pescadores  y  entregado  al  servicio  de 
Guardacostas  de  los  Estados  Unidos.  Segun  las  leyes  de  Estados  Unidos,  la  madre  de  Elian  cometio  un 
secuestro.  Sin  embargo,  dada  la  practica  jurisprudencial  estadounidense  “wet  feet,  dry  feet”,  los  cubanos 
que  alcanzan  las  costas  de  los  Estados  Unidos  pueden  solicitar  asilo  politico.  Los  que  son  hallados  en  el 
mar  son  devueltos  a  Cuba.  Comienza  un  importante  conflicto  diplomatico  entre  ambos  paises  con  un 
nino  de  6  anos  como  protagonista.  La  fiscal  general  de  Estados  Unidos,  Janet  Reno,  pone  fecha  limite  el 
13  de  abril  para  devolver  al  crio.  Empieza  el  pulso.  El  22  de  abril  de  2000  el  Departamento  de  Justicia 
ordena  que  Elian  sea  sacado  por  la  fuerza  de  la  casa  de  Florida  en  que  se  encuentra  y  entregado  a  su  padre. 
En  una  exagerada  puesta  en  escena,  un  numeroso  grupo  de  agentes  del  INS  (Servicio  de  Inmigracion 
y  Naturalization)  vistiendo  uniformes  de  combate  y  armados  de  subfusiles  automaticos  toman  la  casa 
donde  se  aloja  Elian.  Una  fotografia  celebre  de  Alan  Diaz  de  Associated  Press  (que  le  proporcionaria  el 
Premio  Pulitzer  en  2001)  muestra  a  un  agente  del  INS  apuntando  con  el  dedo  fuera  del  gatillo  a  Elian.  La 
fotografia  daria  la  vuelta  al  mundo. 

_  En  abril  el  estado  de  Vermont  en  Estados  Unidos,  legaliza  la  union  civil 
entre  parejas  del  mismo  sexo. 

_  Sony  pone  a  la  venta  la  Playstation  2.  Es  la  consola  mas  rapidamente 
vendida  de  la  historia  y  con  la  perspectiva  del  tiempo,  la  que  mas  ha 
perdurado.  8  anos  despues  de  su  lanzamiento,  todavia  es  posible  adquirirla 
original  en  tiendas  y  se  siguen  creando  juegos  en  exclusiva  para  esta  exitosa 
version  de  Sony,  que  obligaria  a  retrasar  su  Playstation  3  hasta  2007.  Ha 
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vendido  mas  de  100  millones  de  unidades.  Su  primera  version  tenia  una  CPU  de  294  Mhz  y  32  megas  de 
RAM.  Cuesta  unos  300  dolares. 

_  “405”  es  el  primer  corto  distribuido  ampliamente  por  Internet.  Se  trata  de  una  de  las  primeras  campanas 
que  se  beneficia  del  efecto  de  marketing  viral  en  la  Red.  Tiene  mas  de  dos  millones  de  visitas  en  un  mes. 
Costo  300  dolares  y  3  meses  de  realization.  Logra  una  gran  repercusion  mediatica  en  Estados  Unidos. 

_  Se  lanza  el  Pentium  4,  cuya  production  continua  en  forma  de  varios  nucleos  hoy  en  dia.  En  agosto  de 
2000  se  llega  a  los  2  GHz  de  velocidad.  Sufre  muchos  problemas  con  sus  primeros  modelos  (no  llegarian 
a  su  completa  madurez  hasta  2004)  y  muestran  rendimientos  inferiores  a  los  Pentium  III  y  a  su  principal 
competidor  del  momento,  la  linea  Thunderbird  de  AMD.  Comercialmente,  Intel  decide  romper  con  la 
numeration  romana  que  habia  adoptado  hasta  el  Pentium  III.  Considera  que  no  seria  entendida  por  todo 
el  mundo. 

_  En  el  ano  2000  entra  en  funcionamiento  la  primera  plataforma  comercial  de  Television  Digital  Terrestre 
(TDT)  en  Espana,  Quiero  TV.  No  alcanzaria  la  rentabilidad  esperada  y  cesaria  sus  emisiones  el  30  de 
junio  de  2002. 

_  En  la  una-al-dia  del  28  de  julio,  “Hispasec  y  una-al-dia  accesibles  via  WAP”  se  anade  el  enlace  “opina 
sobre  esta  noticia”  por  primera  vez,  con  comentarios  publicos. 

_  Google  firma  un  acuerdo  con  Yahoo!,  buscador  lider  del  momento.  En  los  resultados  de  Yahoo!  Se 
puede  observar  la  leyenda  “powered  by  google”  y  la  explosion  de  Google  comienza.  Los  usuarios  acceden  a 
google.com  y  se  sorprenden  por  la  sencillez  y  limpieza  de  una  pagina  disenada  exclusivamente  para  buscar. 
La  web  de  Yahoo!  por  el  contrario  se  encuentra  artificialmente  recargada  con  decenas  de  servicios,  y  el 
buscador  es  solo  una  pequena  caja  en  la  parte  superior.  Ademas  de  esta  ventaja,  los  internautas  agradecen 
que  con  este  nuevo  buscador  los  resultados  no  estan  adulterados  por  ningun  tipo  de  publicidad.  Se  corre 
la  voz  y  su  popularidad  se  multiplica. 


En  agosto  se  hunde  el  submarino  ruso  Kursk  en  el  mar  de  Barents.  Una  serie  de  desgracias 
ocurren  en  cadena  a  causa  del  derrame  de  una  sustancia  qufmica.  Explotan  varios 
torpedos  y  el  submarino  se  hunde  hasta  el  fondo  del  mar.  Se  intenta  silenciar  la  tragedia, 
pero  sale  a  la  luz.  Varias  naciones  prestan  ayuda  para  un  rescate  agonico  y  complicado. 
Se  filtra  informacion  contradictoria  sobre  si  existen  supervivientes  o  no.  Mas  tarde,  las 
notas  dejadas  por  los  tripulantes  que  sobrevivieron  las  primeras  horas  de  hundimiento  y 
explosiones,  demostrarian  que  al  menos  16  de  los  tripulantes  se  refugiaron  durante  seis  dias 
en  partes  estancas  traseras  tras  las  explosiones.  Pero  el  dano  en  el  casco  estaba  hecho  y 
a  medida  que  el  agua  subia,  un  incendio  se  declaro  en  el  interior  y  murieron  asfixiados. 
Al  rescatar  el  submarino  se  recuperan  3  notas  de  los  supervivientes,  solo  2  son  hechas 
publicas  y  no  en  su  totalidad. 


_  En  septiembre  se  inauguran  los  Juegos  Olimpicos  de  la  XXVII  edicion  en  Sydney.  Espana 
consigue  11  medallas. 

_  En  noviembe,  el  gobierno  de  Saddam  Husein  rechaza  las  nuevas  propuestas  del  Consejo  de  Seguridad 
de  la  ONU  para  realizar  mas  inspecciones  en  busca  de  armas  de  destruction  masiva.  Este  tema  retomaria 
fuerza  en  2003  y  terminaria  declarandose  la  guerra. 
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_  Bajo  la  eterna  sospecha  de  fraude  e  irregularidades  (en  parte  por  las  famosas  tarjetas  “mariposa”),  el 
candidato  republicano  George  W.  Bush  derrota  al  vicepresidente  democrata  de  la  era  Clinton,  A1  Gore. 
Se  vive  un  agonico  recuento  de  los  votos  en  el  estado  de  Florida  durante  un  mes. 

_  A  final  del  2000  se  presenta  la  version  6.0  de  Netscape  Navigator  tras  dos  anos  de  desarrollo, 
basandose  en  el  navegador  Mozilla.  A  mediados  de  ano  Netscape  pierde  fuelle  ante  la  imparable  escalada 
de  Internet  Explorer.  86%  de  uso  frente  a  un  13%  que  nunca  remontaria. 


Seguridad  Informatica 


_  En  enero  se  publica  SubSeven  2.1  Gold,  que  junto  a  BackOrifice  y  NetBus  son  sin 
duda  los  troyanos  (defendidos  como  herramientas  de  administration  remota)  clasicos 
mas  conocidos  del  momento.  Como  otros  troyanos  similares  consta  de  dos  partes,  la  que 
se  instala  en  el  ordenador  atacado  hace  las  veces  de  servidor,  mientras  que  la  parte  que  emplea  el  atacante 
es  el  cliente.  Esta  version  de  SubSeven  incluye  nuevas  caracteristicas  como  libro  de  direcciones,  visor  de 
procesos,  explorador  de  IPs  remotas,  webcam,  texto  a  voz,  espias  de  ICQ,  Microsoft  Messenger  y  Yahoo 
Messenger,  visor  de  portapapeles,  movimiento  del  raton  remoto,  abrir  y  cerrar  la  unidad  del  CD-ROM, 
control  del  sistema  de  archivos  y  un  largo  etcetera  de  posibilidades. 

_  Segun  fuentes  gubernamentales  chinas,  cualquier  compania  que  se  implante  dentro  de  su  republica 
debera  poner  a  disposition  de  tecnicos  de  su  gobierno  el  codigo  fuente  de  los  programas  que  se 
utilicen  para  transmitir  information  de  forma  cifrada. 


Las  redes  globales  de  espionaje  se  ponen  de  moda.  La  NSA,  Agenda  estadounidense  para 
la  Seguridad  Nacional,  desclasifica  unos  documentos,  secretos  hasta  ese  momento,  que 
confirman  el  nacimiento  del  mayor  programa  de  espionaje  conocido  hasta  la  fecha.  Este 
megaproyecto  apodado  Echelon  consiste  en  una  red  de  ambito  internacional  dedicada 
a  la  interceptacion  indiscriminada  de  todo  tipo  de  comunicacion  electronical  telefonia, 
fax,  Internet,  etc,  gracias  al  conglomerado  de  satelites  y  sistemas  informaticos  sustentados 
por  los  servicios  secretos  de  pafses  como  EE.UU,  Gran  Bretana  y  Canada.  Quedan  bajo  su 
dominio  tanto  usuarios  individuales  como  corporaciones  y  estamentos  gubernamentales. 
Gran  parte  de  su  despliegue  a  escala  mundial  toma  como  receptores  de  estas  escuchas 
las  bases  que  Estados  Unidos  mantiene  en  los  paises  que  componen  Echelon.  Estos  datos 
son  enviados  posteriormente  a  la  central  de  la  NSA  para  su  analisis.  Ademas  del  supuesto  fin 
militar,  todo  parece  indicar  que  el  espionaje  tambien  es  aprovechado  con  fines  puramente 
economicos.  El  gobierno  trances  dice  que  demandara  a  los  gobiernos  de  Estados  Unidos 
y  Reino  Unido  por  ello,  tras  hacer  publico  que  han  estado  espiando  las  comunicaciones 
francesas  durante  decadas.  Dicen,  por  ejemplo,  poseer  pruebas  de  que  la  perdida  de  un 
contrato  de  3.5  miles  de  millones  de  libras  esterlinas  del  consorcio  europeo  Airbus  en  1995 
en  favor  de  la  compania  norteamericana  Boeing,  fue  debido  al  espionaje  de  su  oferta. 

El  servicio  secreto  ruso,  heredero  de  la  antigua  KGB,  toma  posiciones  dentro  de  los  ISPs 
rusos  y  obliga  a  mas  de  350  servidores  de  Internet  de  este  pais  a  implantar  un  software 
para  el  control  de  las  comunicaciones.  La  creacion  de  este  departamento  dentro  de  los 
servicios  de  seguridad  rusos  denominado  SORM-2,  nace  con  la  misma  excusa  que  Echelon 
de  controlar  las  comunicaciones  de  terroristas  y  grupos  organizados  que  utilizan  Internet 
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para  comunicarse  entre  ellos.  En  una  carta  remitida  por  Londres  a  sus  socios  europeos 
como  contestacion  a  la  denuncia  realizada  por  la  Comision  Europea,  despues  de  salir 
a  la  luz  la  posible  colaboracion  por  parte  de  los  britanicos  con  la  red  Echelon,  Inglaterra 
manifiesta  no  haber  realizado  ninguna  escucha  aunque  se  siente  con  todo  el  derecho  a 
realizar  tareas  de  espionaje  sobre  el  resto  de  Europa.  El  Gobierno  Britanico  se  ampara  en 
una  ley  del  ano  1985  por  la  que  faculta  a  sus  servicios  secretos  para  poder  interceptor  todo 
tipo  de  comunicaciones  para  salvaguardar  la  seguridad  nacional  y  hacer  prevalecer  el 
bienestar  economico  entre  sus  ciudadanos.  La  fantasia  entorno  a  una  gigantesca  red  de 
espionaje  se  dispara.  EL  parlamento  europeo  crearla  un  informe  publicado  en  2001  en 
el  que  se  concluye:  “las  capacidades  tecnicas  del  proyecto  probablemente  no  iban  tan 
lejos  como  han  asumido  algunos  medios  de  comunicacion”. 


_  En  febrero  un  investigador  de  la  Universidad  Autonoma  de  Barcelona,  Andreu  Riera  Jorba,  propone 
soluciones  para  muchos  de  los  problemas  tradicionales  del  voto  electronico.  Anos  despues  todavia  no 
se  ha  aceptado  como  forma  fiable  de  votacion. 

_  Juan  Carlos  Garcia  Cuartango  descubre  una  puerta  trasera  en  Internet  Explorer  por  la  que 
Microsoft  podria  instalar  cualquier  aplicacion  sin  permiso  ni  conocimiento  de  los  usuarios.  Ofrece  una 
pagina  web  que  lo  demuestra.  El  mismo  explica:  “El  componente  Active  Setup  requiere  software  firmado 
para  actuar,  el  truco  de  Microsoft  es  que  el  software  firmado  por  ellos  se  instala  sin  ningun  tipo  de  aviso  al 
usuario  (al  contrario  de  lo  que  ocurre  con  el  resto  de  casas)  y  sin  necesidad  de  que  se  encuentre  en  la  lista 
de  certificados  y  companias  en  los  que  se  confia”. 

_  Es  el  ano  de  los  problemas  de  las  paginas  dinamicas  en  PHP,  ASP  y  los  CGI.  Un  gran  error  por  parte 
de  Telefonica  permite  que  los  datos  de  las  facturas  de  cualquier  abonado  de  Telefonica  (lo  que  incluye 
nombre,  direction,  NIF,  e  incluso  cuenta  bancaria  y  desglose  de  llamadas)  queden  accesibles  a  la  consulta 
de  un  navegador.  El  problema  proviene  de  un  fallo  de  programacion  y  configuracion  del  servidor  web.  Lo 
arregla  en  tiempo  record.  Cibertienda,  el  paquete  de  Banesto  para  la  implantation  de  tiendas  virtuales,  se 
ve  aquejado  de  un  fallo  que  puede  permitir  a  cualquier  visitante  de  una  de  las  tiendas  alterar  el  contenido 
de  los  carritos  de  la  compra  de  otros  clientes. 

_  El  2000  es  un  ano  bisiesto.  Muchos  programas  cometian  el  error  de  considerar  el  2000  como  ano  no 
bisiesto,  al  tratarse  de  un  multiplo  de  100,  ignorando  la  regia  de  los  multiplos  de  400  que  si  son  bisiestos. 
Gran  numero  de  sistemas  se  ven  afectados  por  el  problema  del  29  de  febrero.  Japon  reconoce  fallos  en 
registradoras,  sistemas  de  prediction  meteorologica  y  sismica  e  incluso  una  planta  nuclear. 

_  Microsoft  lanza  en  febrero  Windows  2000,  y  comienza  la  era  NT  5.0.  El  sistema  operativo  tiene  una 
gran  aceptacion,  supone  un  paso  adelante  en  tecnologia  y  fiabilidad  para  Microsoft.  Aunque  no  tenia  en 
cuenta  la  seguridad  por  defecto,  con  el  Service  Pack  4  y  una  buena  configuracion  manual,  Windows  2000 
resulto  un  gran  producto  que  todavia  es  muy  usado,  casi  9  anos  despues  de  su  lanzamiento.  Ese  mismo 
ano,  en  julio,  sacaria  su  primer  Service  Pack. 

_  En  marzo  Microsoft  soluciona  el  problema  del  bloqueo  al  ejecutar  en  una  consola  el  comando  con\con, 
15  dias  despues  de  advertir  sobre  el  problema. 

_  Siguen  los  problemas  de  privacidad.  Salta  a  todos  los  medios  el  caso  de  Advert.dll,  una  libreria  que  se 
instala  con  un  gran  numero  de  aplicaciones  shareware  de  renombre,  y  que  segun  todas  las  informaciones 
esta  destinada  a  espiar  las  transmisiones  de  los  usuarios. 
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_  Nace  CriptoRed,  la  Red  Iberoamericana  de  Criptografia.  Se  presenta  como  uno  de  los 
proyectos  mas  ambiciosos  dentro  del  campo  de  la  difusion  criptografica  a  traves  de  Internet.  Esta  red  de 
cooperation  docente  con  todos  los  paises  de  Iberoamerica,  cuenta  en  solo  3  meses  con 
mas  de  too  miembros,  la  mayoria  de  ellos  profesores  de  reconocido  prestigio  academico  e 
investigador,  asi  como  buen  numero  de  universidades  y  centros  de  investigation.  Hoy  en 
dia  continuan  sus  actividades  con  exito. 


Es  el  ano  del  virus  LoveLetter.  Aparece  en  mayo.  Se  trata  de  codigo  Visual  Basic  Script  y 
se  envia  principalmente  a  traves  del  correo  electronico  y  el  IRC.  Consiste  en  un  mensaje 
con  el  asunto  “ILOVEYOU"  y  el  fichero  adjunto  LOVE-LETTER-FOR-YOU.TXT.vbs.  La  extension 
VBS  (Visual  Basic  Script)  puede  permanecer  oculta  en  las  configuraciones  por  defecto 
de  Windows,  lo  que  hace  pensar  que  se  trata  de  un  inocente  archivo  de  texto.  Cuando 
se  abre  el  archivo  el  gusano  infecta  el  sistema  y  se  expande  rapidamente  enviandose 
a  los  contactos  en  la  agenda  del  Outlook,  incluidas  las  agendas  globales  corporativas. 
Rapidamente  se  convierte  en  un  fenomeno  mediatico. 

Segun  las  primeras  lineas  de  codigo  el  gusano  procede  de 
Manila,  Filipinos,  y  el  autor  se  apoda  “spyder":  LOVE-LETTER-FOR-Y 

OU.TXT.vbs 

rem  barok -loveletter(vbe)  <i  hate  go  to  school> 

rem  by:  spyder  /  ispyder@mail.com  /  @GRAMMERSoft  Group  /  Manila, Philippines 

Este  gusano  obligaria  a  Microsoft  a  publicar  poco  despues  una  actualizacion  de 
funcionalidades  de  seguridad  para  su  Outlook.  La  actualizacion  (Outlook  98/2000  e-mail 
security  update)  aporta  varias  caracteristicas.  Impide  la  ejecucion  directa  de  un  buen 
numero  de  extensiones  e  incorpora  dos  zonas  de  seguridad  a  Outlook.  Bajo  la  zona  1 
se  incluiran  28  tipos  de  archivos  con  las  extensiones  potencialmente  peligrosas  mas 
conocidas. 


_  Hispasec  publica  su  comparativa  antivirus  2000,  tras  el  exito  de  la  comparativa  de  1999,  que 
revoluciono  toda  la  metodologia  de  pruebas  antivirus  a  nivel  mundial  hasta  el  momento.  Ese  ano  se  sigue 
innovando  y  se  presenta  la  mayor  comparativa  antivirus  de  la  historia,  analizando  un  total  de  30  productos 
seleccionados  entre  los  mejores  de  todo  el  mundo.  Una  de  las  pruebas  (hasta  el  momento  solo  realizada 
por  Hispasec)  consiste  en  el  envio  de  una  muestra  de  virus  real,  pero  no  detectado  por  ningun  antivirus, 
para  comprobar  la  velocidad  de  respuesta  y  efectividad  de  los  servicios  tecnicos  de  cada  firma. 

_  En  junio,  se  sabe  que  un  juego  de  Disney  Interactive,  distribuido  en  Espana  por  Infogrames,  lleva  en  su 
interior  el  virus  CIH  activado,  uno  de  los  mas  daninos  de  toda  la  historia.  Una  “sorpresa”  que  ambas 
companlas  intentan  silenciar.  Concretamente  el  archivo  “RT4.EXE”,  perteneciente  al  juego  “El  Reino 
de  las  Matematicas  con  Aladdin”  se  ve  afectado.  El  desconcierto  surge  cuando  ningun  antivirus  detecta 
presencia  alguna  del  virus  en  el  CD  original  de  instalacion. 

_  Los  gusanos  programados  en  Visual  Basic  Script  (VBS)  estan  de  moda.  Tras  la  fulgurante  irruption 
de  “I  love  you”  y  todas  sus  mutaciones,  se  detecta  un  malware  de  menos  de  12  kilobytes  de  longitud, 
“Timofonica”  creado  en  Espana.  Programado  en  VBS  es  capaz  de  autoenviar  copias  por  medio  de  correo 
electronico  a  todas  las  cuentas  almacenadas  en  la  libreta  de  direcciones  del  usuario  ademas  de  mandar 
mensajes  cortos  a  telefonos  moviles  escogidos  al  azar.  Tambien  instala  un  troyano  que,  al  siguiente 
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arranque,  borra  los  datos  de  la  CMOS  y  formatea  el  disco  duro  de  tal  manera  que  no  se  pueden  recuperar 
los  datos  perdidos  por  medio  de  ninguna  aplicacion  especifica. 

_  Tras  observar  los  buenos  resultados  con  respecto  a  la  seguridad  que  ofrecia  la  configuration  por  defecto 
del  sistema  operativo  OpenBSD,  los  orgullosos  desarrolladores  establecen  como  lema  de  su  pagina  el 
logro  que  estaban  consiguiendo.  A  mediados  de  2000,  se  pueden  leer  las  frases:  “Tres  anos  sin  un  agujero 
remoto  en  la  instalacion  por  defecto”  y  “Dos  anos  sin  agujero  local  en  la  instalacion 
por  defecto”  junto  con  el  pez  globo  que  representa  este  sistema  operativo.  Esta  filtima 
afirmacion  sobre  la  seguridad  en  local  duraria  poco,  y  para  finales  de  ese  mismo 
ano  2000  la  sentencia  ya  habia  sido  retirada.  En  junio  de  2002,  cuando  la  frase  ya 
hablaba  de  “seis  anos  sin  agujeros  remotos”,  el  eslogan  tendria  que  ser  modificado 
de  nuevo.  Se  encontraria  un  grave  fallo  de  seguridad  en  OpenSSH  que  permitia  a 
un  atacante  remoto  obtener  total  control  del  sistema.  Desde  entonces  hasta  2007, 
se  podria  leer  “solo  un  agujero  de  seguridad  en  la  instalacion  por  defecto  en  mas  de 
10  anos”. 

_  P3P  (Platform  for  Privacy  Preferences  Project),  desarrollado  por  el  World  Wide  Web 
Consortium,  se  presenta  como  una  ayuda  para  mejorar  la  privacidad  de  los  usuarios  en  la  web.  Pretende 
estandarizar  la  industria  del  sector  y  automatizar  la  via  para  que  los  usuarios  tengan  el  control  sobre  sus 
datos  personales  o  la  informacion  que  recogen  las  webs  visitadas.  El  control  se  realizaria  mediante  un 
formulario,  que  seria  a  la  vez  fuente  de  informacion  y  limite  para  las  webs  visitadas.  Se  supone  que  las 
paginas  no  podran  almacenar  dicha  informacion  en  formato  legible  y  se  supone  que  otros  navegadores  y 
usuarios  no  podran  acceder  a  esa  informacion  personal.  Para  defensores  del  proyecto  P3P,  este  metodo 
impulsaria  a  los  usuarios  a  controlar  sus  propias  politicas  de  privacidad  de  datos,  mediante  un  formulario 
sencillo  de  entender.  Fracasaria  estrepitosamente. 

_  Se  crea  “Bufer  abierto”,  una  nueva  section  en  Hispasec  en  la  que  tendran  cabida  las  contribuciones 
que  los  lectores  de  Hispasec  hagan  llegar,  a  traves  de  la  direction  bufer@hispasec.com  a  modo  de  noticias 
y  articulos.  Siempre  con  el  tema  de  la  seguridad  informatica  como  telon  de  fondo,  “Bufer  abierto”  brinda 
la  oportunidad  a  los  usuarios  de  Hispasec  de  publicar  cualquier  contenido  que  quieran  compartir  con  el 
resto  de  la  comunidad.  La  propuesta  no  tendria  mucho  exito. 

_  El  concurso  televisivo  Gran  Hermano  consigue  superar  todos  los  records 
de  audiencia  en  Espana,  se  convierte  en  verdadero  fenomeno  social.  Se 
publican  en  una  pagina  web  todos  los  datos  de  las  personas  que  se  presentaron 
a  las  pruebas  de  selection.  Alguien  entra  en  los  servidores  y  hace  publica 
la  informacion.  Segun  comprueba  Hispasec,  Zeppelin  TV,  la  productora 
del  concurso,  presenta  ademas  un  gran  numero  de  vulnerabilidades  en  su 
servidor. 


Sigue  de  moda  la  privacidad  y  el  espionaje  global  con 
el  reconocimiento  de  la  existencia  de  “Carnivoro”  por  parte  del  FBI.  Entre  algunas 
de  las  peculiaridades  de  Carnivoro  se  sabe  que  no  es  un  unico  software  sino  que  se 
compone  de  diferentes  programas  incluidos  en  un  mismo  paquete.  “Carnivoro”  es  la 
continuation  de  otro  programa  desarrollado  con  la  misma  finalidad  por  el  FBI  denominado  “Omnivoro”, 
este  fue  creado  originalmente  a  principios  del  ano  1997  para  plataformas  Sun  Solaris  x86.  Omnivoro  queda 
en  el  olvido,  pero  es  reemplazado  por  “Carnivoro”,  desarrollado  para  plataformas  NT. 


OpenBSD 
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_  Georgi  Guninski  descubre  de  nuevo  un  agujero  en  un  producto  de  Microsoft.  En  esta  ocasion  el  problema 
puede  permitir  la  ejecucion  arbitraria  de  codigo  al  abrir  un  documento  de  Microsoft  Word  2000. 
Lamentablemente  se  descubririan  muchisimos  mas  anos  despues.  Especialmente  en  verano  de  2006. 

_  Aparece  Sysid,  un  especimen  programado  en  Delphi  (de  200  kilobytes  tras  haber  sido  procesado  por 
medio  del  compresor  Aspack,  reduciendo  los  casi  400  originales  de  peso).  Muy  pesado  para  la  epoca, 
aunque  hoy  en  dia  podemos  encontrar  malware  creado  en  Delphi  de  varios  megas  de  peso.  La  aportacion 
novedosa  que  efectua  este  virus  consiste  en  lo  que  en  virologia  informatica  se  conoce  como  desactivacion 
“on  the  fly”:  el  malware  esconde  todo  indicio  de  su  presencia  en  cada  momento  susceptible  de  poder  ser 
examinado  por  el  usuario  0  por  algun  producto  antivirus.  En  el  caso  de  Sysid,  el  gusano  escribe  su  clave 
de  activation  en  el  registro  solo  en  el  momento  en  que  detecta  que  la  sesion  activa  de  Windows  esta  siendo 
cerrada,  y  la  borra  tan  pronto  como  es  ejecutado  en  el  siguiente  arranque  y  su  presencia  en  memoria  esta 
ya  garantizada.  Se  asegura  de  esta  forma  el  no  poder  ser  ni  descubierto  ni  desactivado,  a  menos  que  el 
usuario  conozca  en  detalle  las  caracteristicas  del  malware  y  elimine  los  ficheros  semilla  instalados  en  los 
directorios  del  sistema. 

_  La  Fundacion  para  la  Privacidad  (Privacy  Foundation)  hace  publico  un  comunicado  donde  describe  la 
posibilidad  que  tienen  los  documentos  de  Microsoft  Office  de  permitir  a  sus  autores  seguir  el  rastro  de  los 
usuarios  que  los  leen  y  las  organizaciones  por  las  que  se  transmite.  En  el  aviso  de  la  Privacy  Foundation 
se  hace  referencia  a  la  posibilidad  que  tiene  Microsoft  Word,  Excel  y  PowerPoint  de  incluir,  lo  que  se  da  en 
llamar,  “Web  bugs”.  Estos  chivatos  o  espias  permiten  al  autor  del  documento  detectar  y  rastrear  fugas  de 
documentos  confidenciales  de  una  compania,  posibles  infracciones  del  copyright  de  informes  y  boletines 
o  monitorizar  la  distribution  de  notas  de  prensa. 

_  En  septiembre,  el  sitio  web  de  Western  Union  sufre  una  intrusion.  Los  atacantes  se  hacen  con  la 
informacion  de  15.700  tarjetas  de  credito  y  debito  de  usuarios  que  utilizan  sus  servicios.  La  compania 
atribuye  el  agujero  de  seguridad  al  error  de  un  administrador  del  sistema  durante  unas  operaciones 
rutinarias  de  mantenimiento.  Este  patron  de  robos  a  grandes  companias  que  almacenan  datos  privados 
de  usuarios  no  pararia  de  producirse  esporadicamente  en  los  anos  posteriores. 

_  En  octubre  Erkki  Liikanen,  comisario  de  la  comision  europea  de  Empresa  y  Sociedad  de  la 
Informacion,  da  a  conocer  los  principios  en  los  que  se  basara  la  Union  Europea  para  luchar  contra  los 
delitos  que  se  realicen  en  Internet.  El  comisario  informa  de  que  se  potenciara  la  formation  de  los  usuarios, 
se  incrementaran  las  medidas  de  seguridad  en  la  red  y  se  fomentara  la  cooperation  internacional.  Para 
aplicar  esta  politica  se  tipifican  los  delitos  en  dos  grandes  grupos.  En  el  primero  se  parte  de  la  base  de  que 
los  delitos  que  se  cometen  fuera  de  Internet  lo  son  tambien  si  se  realizan  dentro  de  la  red.  Separados  en 
un  segundo  apartado  se  encuentran  los  delitos  propios  de  las  nuevas  tecnologias,  como  el  “cracking”  y  los 
virus  informaticos. 

_  Tras  un  largo  proceso  de  casi  cuatro  anos,  el  NIST  (Instituto  Nacional  de  Estandares  y  Tecnologia) 
norteamericano  selecciona  al  algoritmo  Rijndael  como  estandar  AES.  NIST  hace  publico  el  algoritmo 
ganador  de  la  convocatoria  AES  (estandar  de  cifrado  avanzado),  que  sustituye  al  DES  (estandar  de 
cifrado  de  datos)  hasta  bien  entrado  el  siglo  21.  Para  sorpresa  de  muchos,  Rijndael  es  un  algoritmo  belga, 
venciendo  a  algoritmos  norteamericanos  y  a  criptologos  de  reputada  fama  mundial.  Se  quedan  atras 
“twofish”,  disenado  por  un  equipo  liderado  por  el  conocido  Bruce  Schneier  (autor,  entre  otras  cosas,  del 
libro  “Applied  Cryptography”),  y  al  algoritmo  “RC6”,  disenado,  entre  otros,  por  Ronald  Rivest  (la  “R”  del 
algoritmo  RSA).  Se  establece  que  los  programas  y  hardware  que  incorporen  AES  podran  ser  exportados 
fuera  de  EE.UU.,  lo  que  incrementara  tanto  la  seguridad  como  la  interoperatividad  de  los  productos  con 
tecnologia  criptografica. 
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_  Una  semana  despues  de  ser  descubierto,  Microsoft  facilita  un  parche  que  elimina  una  grave vulnerabilidad 
en  su  Maquina  Virtual  de  Java  (Microsoft  VM).  El  problema  que  corrige,  descubierto  por  Georgi 
Guninski  permite  la  ejecucion  de  codigo  arbitrario  en  los  sistemas  de  los  usuarios  con  tan  solo  visitar  una 
pagina  web  o  leer  un  mensaje  de  correo  HTML.  La  maquina  virtual  de  Java  de  Microsoft  dejaria  de  ser 
actualizada  o  incluida  en  sus  productos  en  2004  y  terminaria  definitivamente  su  soporte  en  2008. 

_  La  utilidad  traceroute,  utilizada  por  cualquier  administrador  de  redes,  contiene  una  vulnerabilidad 
que  permite  que  un  usuario  local  obtenga  privilegios  de  administrador  0  “root”.  La  vulnerabilidad  afecta 
a  las  versiones  anteriores  a  la  “traceroute-i.4a5-i6”,  distribution  LBL. 

_  Microsoft  publica  versiones  para  entornos  Unix  de  Internet  Explorer  y  Outlook  Express. 

En  concreto  para  Solaris  y  HP-UX.  Luego  Microsoft  no  proporcionaria  actualizaciones  de  seguridad  para 
estas  nuevas  versiones.  Ni  facilitaria  para  estas  plataformas  las  version  5.5. 


Se  publica  en  octubre  una  nueva  variante  de  la  vulnerabilidad  de  escalada  de  directorios 
en  Internet  Information  Server.  Esta  vez,  saltandose  con  codificacion  Unicode  la  restriccion 
de  los  caracteres impuesta  por  el  servidor. 

f  ~  -ax 

http://servidor.iis.afectado/scripts/..%cl%lc../winnt/system32/cmd.exe?/c+dir+c:\ 


Muchos  anos  despues,  seguiria  siendo  la  forma  mas  sencilla  y  predilecta  de  muchos  de 
burlar  la  seguridad  de  servidores  web. 


_  Comienza  noviembre  con  el  “Caso  Microsoft”.  El  Wall  Street  Journal  publica  que  unos  atacantes 
podrian  haber  accedido  al  codigo  fuente  del  software  de  Microsoft,  incluyendo  las  ultimas  versiones  de 
Windows  y  Office.  Este  mismo  diario  cita  a  un  familiar  de  una  persona  cercana  al  caso,  que  filtra  el  nombre 
del  troyano  “Qaz”  como  posible  herramienta  para  introducirse  en  la  red  interna  de  Microsoft  a  traves  de  un 
mensaje  de  correo  electronico.  El  troyano,  tras  ser  ejecutado  por  un  empleado  de  Microsoft,  habria  abierto 
una  puerta  trasera  en  el  ordenador  infectado  que  facilitara  el  acceso  al  atacante  y  la  posterior  instalacion 
de  otras  herramientas  para  conseguir  contrasenas  y  acceso  a  information  sensible.  Bernardo  Quintero 
desmonta  en  una  serie  de  entregas  de  una-al-dia  la  teoria  del  troyano  Qaz,  analizando  detenidamente  su 
comportamiento  y  como  seria  tecnicamente  inviable  que  se  hubiera  usado  este  programa  para  vulnerar  la 
red,  hipotesis  sin  embargo  avalada  por  otros  “expertos”. 

_  El  CERT  norteamericano  hace  publica  su  nueva  politica  a  la  hora  de  difundir  ^  p  DT 
avisos  de  seguridad.  En  ella  se  indica  que  los  problemas  de  seguridad  seran  anunciados  v^CIl  I 
de  forma  publica  a  los  45  dias  del  aviso  inicial,  independientemente  de  que  existan  o  no  soluciones  por 
parte  de  los  fabricantes.  El  CERT  fue  creado  en  1988  por  el  gobierno  americano,  tras  el  conocido  ataque 
del  “gusano  de  Morris”  que  contamino  el  10%  de  todas  las  maquinas  conectadas  a  Internet. 

_  En  noviembre  se  detecta  la  primera  union  estrecha  entre  malware  y  banca  online.  Se  descubre  Req, 
un  gusano  que  roba  information  de  un  banco  de  Suiza.  Una  vez  ejecutado,  el  gusano  precede  a  buscar 
en  el  disco  duro  del  usuario  infectado  documentos  generados  por  un  programa  que  el  Union  Bank  de 
Suiza  proporciona  a  sus  clientes  para  efectuar  pagos  por  medio  de  Internet  (una  especie  de  resguardos 
electronicos)  y,  en  caso  de  encontrar  alguno,  lo  envia  a  tres  direcciones  de  correo  pertenecientes  al  autor 
del  malware. 
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_  Hybris,  un  gusano  programado  por  el  mismo  autor  que  Babylonia,  se  presenta  como  el  malware  mas 
dificil  de  combatir.  Probablemente,  tambien  el  mas  complejo  aparecido  hasta  el  momento. 

_  A  final  de  ano,  fruto  de  la  colaboracion  tecnologica  entre  Hispasec  y  MyAlert  y  el  apoyo  estrategico 
de  la  Asociacion  de  Internautas,  se  presenta  el  primer  servicio  de  alertas  de  virus  y  seguridad  informatica 
via  SMS  que  todos  los  usuarios  podian  recibir  gratis.  Un  sistema  de  alertas  adelantado  a  su  tiempo  que 
desapareceria  solo  un  ano  despues. 

_  La  Agencia  de  Seguridad  Nacional  (NSA)  norteamericana  hace  publica  una  version  “segura”  del 
popular  sistema  operativo  Linux.  Varios  organismos  oficiales  norteamericanos  habian  demostrado  interes 
en  disponer  de  un  sistema  operativo  de  calidad  y  seguro,  con  codigo  fuente,  para  poder  hacer  frente  a  la 
eventualidad  de  que  desapareciesen  los  sistemas  actualmente  en  uso,  como  Trusted  Solaris  (Sun),  Trusted 
AIX  (IBM)  o  Trusted  IRIX  (SGI,  antigua  Silicon  Graphics).  La  NSA  norteamericana  hace  publica  una 
version  de  Linux  que  cumple  los  criterios  “Trusted”,  basada  en  el  kernel  Linux  2.2.12  y  en  la  distribution 
RedHat  6.1,  bajo  licencia  GNU  GPL  (GNU  General  Public  License). 


Una  al  dia 


02/01/2000  Efecto  2000:  exito  sin  precedentes  y  verdades  a  medias 

Pese  a  que  esperamos  surjan  nuevos  incidentes  a  causa  del  efecto  2000,  la  escasa  incidencia  de  problemas 
en  los  servicios  criticos  a  nivel  mundial  hace  pensar  en  el  exito  de  las  medidas  adoptadas.  En  estos 
momentos,  mientras  algunos  hasta  se  plantean  la  gravedad  real  del  problema,  es  cuando  no  podemos  -ni 
queremos-  pasar  por  alto  el  enorme  esfuerzo  de  miles  de  personas  en  la  lucha  contra  el  mayor  desastre 
potencial  de  la  historia  informatica:  felicidades.  Aun  queda  por  ver  el  impacto  final  que  supondra  el  efecto 
2000  en  los  sistemas,  existen  procesos  administrativos  donde  los  incidentes  pueden  tardar  semanas  0 
meses  en  salir  a  la  luz.  Pero  una  vez  pasadas  las  primeras  horas,  donde  se  temia  por  los  sistemas  mas 
criticos,  el  efecto  2000  nos  ha  dejado  algunas  ensenanzas:  el  mundo  esta  mas  conectado  de  lo  que  muchos 
preveian,  la  tecnologia  actual  permite  afrontar  retos  globales  de  forma  eficaz,  y  la  principal  “culpable”  es 
Internet. 

Incidentes  que  no  salen  a  la  luz  publica 


Aunque  los  incidentes  reportados  hasta  el  momento  no  son  excesivamente  numerosos  ni  graves,  no 
significa  que  en  realidad  no  se  esten  dando  mas  casos  de  sistemas  afectados.  La  information  de  la  que 
disponen  los  medios  es  facilitada,  en  la  mayoria  de  los  casos,  por  los  gabinetes  de  crisis  de  los  gobiernos, 
desde  donde  se  esta  ejerciendo  un  estricto  filtro  sobre  las  notificaciones.  A  este  contratiempo  mediatico, 
hay  que  sumar  que  muchas  companias  privadas  tienen  contratos  de  confidencialidad,  por  lo  que  tampoco 
pueden  suministrar  datos  sobre  las  actuaciones  que  se  estan  llevando  a  cabo  en  estos  momentos. 

Por  poner  algun  ejemplo,  Gartner  Group  afirma  haber  recibido  durante  media  jornada  cerca  de  400 
incidentes  Y2K  desde  pequenas  y  medianas  empresas.  Por  supuesto,  ellos  no  pueden  ofrecer  mas  datos,  ya 
que  tienen  firmados  contratos  de  confidencialidad  con  sus  clientes. 

En  Espana,  aunque  todos  debemos  felicitarnos  por  los  resultados  hasta  el  momento,  el  panorama  no 
es  muy  diferente.  Se  estan  trabajando  en  incidentes  en  distintas  empresas  y  organismos,  si  bien  estos 
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problemas  no  saltan  a  la  luz  publica  por  la  rapida  actuation  de  los  tecnicos  y  por  no  afectar  a  los  servicios 
externos.  Por  los  comunicados  oficiales  del  gobierno  todo  parece  indicar  que  no  se  ha  dado  ningun  caso, 
contrastando,  por  ejemplo,  con  una  de  las  ultimas  filtraciones  a  los  medios  de  comunicacion  fuera  de 
nuestro  pais,  donde  se  habla  de  problemas  derivados  del  efecto  2000  en  centrales  nucleares  de  Espana. 

Dudas  sobre  el  Efecto  2000 


Nos  ha  sorprendido,  tristemente,  que  desde  algunos  foros,  supuestamente  de  caracter  informatico,  se 
haya  insinuado  la  inexistencia  del  problema  o  intentado  minimizar.  Desde  un  punto  de  vista  tecnico  el 
problema  es  palpable,  asi  como  su  implication  en  la  mayoria  de  los  procesos  criticos  y  administrativos.  Si 
bien  no  hay  que  dar  mayor  importancia  a  esos  comentarios  ya  que,  como  viene  siendo  habitual,  no  aportan 
ningun  dato  tecnico  o  base  teorica,  y  simplemente  se  excusan  en  suposiciones  subjetivas  en  base  a  que 
no  hay  incidentes  graves.  Parece  ser  que  para  algunos  es  imposible  que  los  informaticos  hagan  bien  su 
trabajo,  o  simplemente  esperaban  que  el  efecto  2000  terminara  por  estropearles  la  tostadora. 

Sobredimensionamiento  y  “defectos  secundarios” 


Otros  comentarios  y  articulos,  aunque  con  un  enfoque  distinto  a  nuestro  planteamiento,  si  han  merecido 
la  reflexion  de  la  comunidad  y  nuestra  participation  activa  en  algunos  foros  de  discusion.  En  estos  casos 
la  atencion  se  ha  centrado  sobre  los  medios  que  han  generado  psicosis  en  la  poblacion  con  alarmas 
innecesarias,  sobredimensionando  el  alcance  de  los  posibles  incidentes,  asi  como  en  el  gasto  que  ha  supuesto 
las  medidas  adoptadas  desde  los  gobiernos  y  el  enriquecimiento  de  empresas  que  han  aprovechado  la 
confusion.  Si  bien  aceptamos  en  parte,  y  con  matices,  dichos  planteamientos  -sigue  siendo  complicado  y 
oportunista  hacer  valoraciones  a  posteriori  sobre  temas  tan  subjetivos-  hemos  querido  dejar  constancia 
de  que  estos  “defectos  secundarios”  no  deben  empanar  el  esfuerzo  y  dedication  de  los  profesionales,  ni  la 
gravedad  del  problema  original. 


Bernardo  Quintero 


21/01/2000  El  gobierno  reformara  la  ley  para  evitar  el  delito  informatico 

Segun  expuso  el  Ministro  de  Interior  Jaime  Mayor  Oreja  el  gobierno  tiene  intention  de  adaptar  la  ley 
para  luchar  contra  la  proliferation  del  delito  informatico.  El  Ministro  de  Economia  Rodrigo  Rato  tambien 
confirmo  este  dato  en  las  jornadas  sobre  seguridad  en  la  economia  digital  organizadas  por  la  Guardia 
Civil.  Segun  el  ministro  de  Interior  la  evolution  que  manifiesta  Internet  asi  como  el  mayor  de  volumen 
de  transacciones  electronicas  a  traves  de  la  Red  obligara  al  Gobierno  del  PP,  caso  de  ganar  las  proximas 
Elecciones  Generales,  a  legislar  con  agilidad  y  a  su  vez  esas  leyes  deberan  estar  sujetas  a  continuos  cambios. 
Todo  ello  debido  a  la  evolution  continua  de  la  Red  y  el  modo  de  cometer  delitos  dentro  de  ella. 

Entre  los  asistentes  a  estas  jornadas  se  ha  hecho  especial  hincapie  a  la  protection  de  la  propiedad  intelectual 
y  garantizar  la  seguridad  en  las  transacciones  electronicas.  Algunos  de  los  datos  fueron  aportados  por 
destacados  nombres  dentro  de  la  sociedad  informatica  espanola,  como  Francisco  Roman,  director  general 
de  Microsoft,  que  afirmo  que  Espana  es  uno  de  los  paises  europeos  con  mayor  indice  de  pirateria. 

El  Coronel  de  la  Guardia  Civil  Manuel  Nieto  dio  a  conocer  el  dato  que  de  los  125  casos  investigados  por  la 
G.C.  en  estos  tres  ultimos  anos  se  han  resuelto  el  90%.  Tambien  destaco  que  el  delito  que  esta  tomando 
mayor  auge  es  el  de  la  utilization  fraudulenta  de  tarjetas  de  credito  a  traves  de  Internet.  Para  esto  se 
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utilizan  diversos  medios,  como  la  obtencion  de  recibos  tirados  por  los  usuarios  en  papeleras,  la  difusion 
de  listas  de  numeros  a  traves  de  la  Red,  generadores  de  numeros  validos,  etc. 


Antonio  Roman 


23/02/2000  Virus  “in  the  wild”,  tcual  es  la  formula? 

En  muchas  ocasiones  diversos  especialistas  han  tratado  de  extraer  conclusiones  a  partir  de  las  llamadas 
“wildlists”,  con  el  fin  de  poder  intuir  de  antemano  cuales  seran  los  virus  o  i-worms  de  mayor  prevalencia 
a  corto  plazo.  Las  estadisticas  que  revela  este  tipo  de  listas,  sin  embargo,  aun  dejan  muchas  incognitas 
pendientes.  Para  muestra,  un  boton:  la  production  de  virus  de  fichero  para  Win32  es,  desde  hace  meses, 
sensiblemente  superior  a  la  de  virus  de  macro,  i-worms  y,  por  supuesto,  especimenes  infectores  del  ya 
vetusto  DOS.  Sin  embargo,  y  de  acuerdo  con  los  datos  ofrecidos  a  partir  de  la  ultima  “wildlist”  oficial,  el 
unico  representante  de  este  grupo  de  cuya  actividad  infecciosa  se  tiene  constancia  es  el  “CIH”,  que,  eso  si, 
con  38  impactos,  se  situa  segundo  en  la  lista,  detras  del  aparentemente  imbatible  “Happy99”. 

Esta  situation  viene  a  ser  una  continuation  de  la  relation  que  ya  protagonizaron  los  virus  de  fichero  de  DOS 
y  los  practicamente  desaparecidos  infectores  de  “boot”:  a  pesar  de  que  los  primeros  eran  cuantitativamente 
superiores,  los  segundos  siempre  llevaron  la  delantera  en  cuanto  al  numero  de  infecciones  producidas  a 
nivel  mundial. 

Lo  cierto  es  que  resultaria  increiblemente  tedioso  efectuar  una  valoracion  para  dilucidar  si  el  problema 
atiende  a  razones  de  mayor  0  menor  complejidad,  si  bien  es  cierto  que,  en  lineas  generates,  los  virus  de 
fichero  suelen  ofrecer  aspectos  de  tipo  tecnico  mas  interesantes  que  los  que  podemos  encontrar  en  los 
especimenes  infectores  de  “boot”.  Pero  este  argumento  chocaria  de  golpe  con  un  hecho  tan  peculiar  como 
el  que  representa  la  presencia  del  virus  “Form”,  simple  y  directo  donde  los  haya,  ano  tras  ano  y  mes  tras  mes 
en  puestos  privilegiados  de  las  listas  de  prevalencia,  compartiendo  cartel  con  un  clasico  de  fichero  como 
“OneHalf”  -conocido  por  ser  uno  de  los  virus  de  DOS  mas  complejos  que  se  recuerdan  y  con  “AntiCMOS” 
y  “AntiEXE”,  dos  ejemplares  mas  de  “boot”  cuyo  estilo  raya  en  el  mas  puro  de  los  minimalismos.  El  testigo 
de  “OneHalf”  parece  recogerlo  el  “CIH”,  que  en  su  momento  fue  un  autentico  impacto  tecnico  -  poca  gente 
hasta  entonces  habia  sido  capaz  de  alcanzar  “ring-o”  (el  anillo  de  privilegios  maximos  en  Windows)  desde 
un  virus. 

Entonces...  ctienen  mas  posibilidades  de  extenderse  “in  the  wild”  los  virus  de  “boot”  simples  y  los  virus 
de  fichero  mas  complejos?  ejemplos  como  “Marburg”  -un  infector  de  archivos  de  formato  PE  EXE  para 
Windows95  bastante  simple-  o  “Zhengxi”,  considerado  como  uno  de  los  virus  de  fichero  mas  complejos  de 
la  historia,  no  son  mas  que  la  punta  del  iceberg  que  desbarata  cualquier  tipo  de  teoria  al  respecto. 

Por  si  esto  fuera  poco,  los  virus  de  macro,  relevo  generational  de  los  infectores  de  “boot”,  crecen  en 
progresion  geometrica  mes  tras  mes,  y  siguen  siendo,  con  mucho,  el  genero  de  virus  mas  extendido  desde 
su  aparicion.  Estadisticas  oficiales  hacen  eco  de  un  dato  alarmante:  mas  del  65%  de  las  infecciones  que 
tienen  lugar  a  diario  estan  producidas  por  un  virus  de  macro,  y  de  hecho  es  posible  comprobar  como,  de 
los  diez  especimenes  mas  extendidos  de  acuerdo  con  la  “wildlist”  del  mes  de  enero,  seis  pertenecen  a  este 
simple  pero  muy  efectivo  genero  virico. 

Sin  embargo,  el  verdadero  problema  lo  tenemos  a  la  vuelta  de  la  esquina:  el  fenomeno  de  los  gusanos 
(i-worms  e  IRC  worms)  esta  cobrando  un  peligroso  protagonismo,  pese  a  su  corto  periodo  de  vida. 
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Especialmente  en  el  caso  de  los  i-worms,  habria  que  hacer  hincapie  en  un  hecho  escalofriante:  el  primer 
especimen  de  este  tipo  data  de  enero  de  1999,  y,  desde  entonces,  se  han  escrito  menos  de  quince  ejemplares 
de  este  genero.  Sin  embargo,  cuatro  de  ellos  aparecen  en  los  primeros  puestos  de  la  “wildlist”  del  mes  de 
enero  (entre  ellos,  “Happygg”  en  el  primer  puesto),  y  se  tiene  constancia  que  la  practica  totalidad  de  los 
restantes  i-worms  conocidos  hasta  el  momento  han  sido  encontrados  en  algun  momento  “in  the  wild”. 

Las  estadisticas  que  se  barajan,  en  comparacion  con  las  de  los  generos  de  virus  mas  antiguos,  nos  hacen 
augurar  un  futuro  muy  poco  esperanzador.  El  clavo  ardiente  al  que  debemos  agarrarnos  es  el  hecho  de 
que,  salvo  el  caso  de  “BubbleBoy”,  la  ejecucion  de  un  i-worm  en  un  ordenador  no  infectado  es  una  situation 
de  interaction  en  la  que  se  miden  las  fuerzas  los  recursos  a  nivel  de  ingenieria  social  de  los  escritores  de 
virus  y  la  precaution  de  los  usuarios,  que,  en  el  momento  de  recibir  un  gusano  pasan  automaticamente  a 
convertirse  en  posibles  victimas. 

A  pesar  de  todas  estas  conjeturas,  siempre  nos  quedara  una  duda  por  resolver:  tiiasta  que  punto  dependen 
las  probabilidades  que  tiene  un  virus  de  cara  a  su  ulterior  expansion  “in  the  wild”  de  sus  mecanismos  de 
auto-ocultacion?  icuando  y  como  se  suele  descubrir  la  mayoria  de  las  infecciones  viricas?  dtras  haber 
escaneado  el  disco  duro  con  un  antivirus  actualizado,  0  antes  de  que  el  propio  antivirus  haya  tenido  noticia 
de  la  existencia  del  especimen  en  cuestion?  y,  sobre  todo,  icuantas  infecciones  viricas  se  han  producido  a 
lo  largo  del  mundo  y  siguen  vigentes  hoy  dia  sin  haber  sido  descubiertas? 

Las  estadisticas  son  un  dato  fundamental  de  cara  a  la  futura  prevention  de  males  que  hoy  en  dia  nos 
aquejan,  y  por  desgracia  son  todavia  muy  pocas  las  compaihas  antivirus  que  se  preocupan  por  obtener 
algun  tipo  de  information  adicional  por  parte  de  sus  usuarios  acerca  de  los  ataques  viricos  que  estos 
sufren  dia  tras  dia,  algo  que  puede  suscitar  dos  ultimas  preguntas:  f  hasta  que  punto  interesa  a  este  tipo 
de  empresas  erradicar  de  manera  definitiva  las  plagas  viricas  de  la  informatica?  ffuncionan  de  manera 
analoga  a  la  medicina  general,  prestando  mas  atencion  a  las  consecuencias  que  a  las  causas  reales? 

Giorgio  Talvanti 


06/04/2000  Las  guerras  de  los  MP3 

f.Acabara  el  formato  MP3  y  la  distribucion  de  musica  a  traves  de  Internet  con  la  industria  discografica? 
Para  muchos  la  respuesta  es  un  contundente  y  rotundo  SI.  La  unica  duda  resta  en  saber  exactamente 
en  cuanto  tiempo. 

Esta  industria  multimillonaria  se  ha  caracterizado  por  aplastar  todas  las  tecnologias  que  potencialmente 
podian  amenazar  sus  vastos  intereses  economicos.  Primero  destruyo  el  formato  DAT  y  cuando  MP3 
se  extendia  peligrosamente,  su  reaction  no  se  hizo  esperar:  en  cuanto  Diamond  (www.diamond.com) 
lanzo  al  mercado  su  controvertido  reproductor  Rio,  la  RIAA  (Asociacion  Americana  de  la  Industria 
Discografica),  que  representa  a  los  principales  sellos  discograficos  del  mundo,  llevo  a  la  compania  a  los 
tribunales  alegando  que  la  venta  de  Rio  alentaria  la  pirateria.  El  veredicto  final,  emitido  en  junio  de  1999, 
declare  que  Rio  no  violaba  ninguna  ley  ni  la  AHRA  (Audio  Home  Recording  Act),  en  la  medida  en  que  el 
reproductor  copia  las  canciones  directamente  de  un  ordenador  y  no  desde  un  CD  original.  Este  veredicto 
se  considero  una  gran  victoria  de  MP3  sobre  la  voraz  industria  discografica.  A  continuation,  RIAA  se 
volvio  contra  MP3.c0m  (www.mp3.com),  el  mayor  sitio  web  de  distribucion  de  musica  comprimida.  En 
enero  de  2000,  la  asociacion  de  discograficas  demando  a  MP3.c0m  por  supuesta  infraction  de  derechos 
de  autor  de  mas  de  45.000  CD  de  musica,  ofrecidos  a  traves  de  su  servicio  My.MP3  en  circunstancias  que 
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poco  tenian  que  ver  con  las  acusaciones.  Por  su  parte,  MP3. com  demando  a  RIAA  un  mes  despues  por 
practicas  comerciales  desleales,  difamacion,  libelo,  e  interferencias  con  posibles  ganancias  economicas. 
Otros  demandados  por  RIAA  han  sido  Lycos  (caso  perdido  tambien)  y  Napster  (probablemente,  perdido 
tambien).  Los  defensores  de  MP3  y  la  musica  en  Internet  se  preguntan,  ia  cuantos  mas  debe  demandar  la 
RIAA  antes  de  darse  cuenta  de  que  su  guerra  esta  perdida? 

?Que  guerra?  Cuando  el  canal  de  distribucion  primario  era  el  CD,  las  cosas  estaban  atadas  y  bien  atadas. 
iQue  alguien  graba  un  CD  a  cinta?  No  supone  una  amenaza,  al  fin  y  al  cabo,  la  calidad  es  menor.  Poco 
despues  hacen  su  aparicion  los  copiadores  de  CD-ROM.  ?Que  la  industria  discografica  afronta  perdidas 
por  pirateria?  Tampoco  pasa  nada,  al  fin  y  al  cabo,  todos  estan  metidos  en  el  mismo  cotarro  y  son  los  que 
venden  los  aparatos,  los  CD  virgenes  y  demas:  se  grava  a  los  CD  virgenes  con  un  canon  para  afrontar  las 
perdidas  y  los  ingresos  vuelven  a  su  cauce.  cQue  el  artista  sale  perdiendo?  Que  se  le  va  a  hacer. 

Sin  embargo,  la  distribucion  de  musica  a  traves  de  Internet,  que  gracias  al  formato  de  compresion  de  MP3 
permite  su  rapida  descarga  y  almacenamiento  en  disco,  hace  tambalear  los  cimientos  de  este  emporio. 
La  primera  solucion  buscada  consistio  en  luchar  contra  MP3,  pero  no  se  puede  escupir  a  las  cataratas  del 
Niagara.  Al  fin  y  al  cabo,  a  lo  mejor  hasta  se  puede  sacar  tajada  de  Internet.  Vivimos  en  plena  fiebre  de 
pelotazos,  c.no? 

“Si  no  puedes  con  ellos,  unete  a  ellos”,  dice  el  refran.  La  RIAA,  con  su  Iniciativa  para  la  Musica  Digital 
Segura  (SDMI),  esta  intentando  poner  freno  a  la  distribucion  incontrolada  del  MP3,  pero  sin  renunciar  a 
sus  nuevas  oportunidades  de  negocio  a  traves  de  Internet.  La  SDMI,  lanzada  por  RIAA  y  que  reune  a  mas 
de  160  companias  y  organizaciones,  entre  ellas  sellos  discograficos  (como  los  gigantes  EMI  o  Warner), 
companias  de  electronica  y  de  TI,  proveedores  de  servicio  de  Internet  y  companias  de  tecnologia  de 
seguridad,  ha  estado  trabajando  en  la  creacion  de  un  estandar  para  la  proteccion  de  musica  en  MP3  y 
otros  formatos.  Hasta  el  momento,  en  su  Fase  I,  la  SDMI  ha  acordado  adoptar  la  tecnologia  de  Verance 
Corporation  (www.verance.com),  llamada  Musicode,  para  la  insercion  de  marcas  de  agua  robustas  en 
las  obras  musicales.  La  Sociedad  General  de  Autores  y  Editores  (SGAE)  ha  firmado  en  diciembre  del 
ano  pasado  un  acuerdo  con  Verance,  que  licencia  a  la  SGAE  para  que  utilice  la  tecnologia  MusiCode  de 
Verance  para  incluir  marcas  de  agua  inaudibles  en  las  obras  musicales  de  sus  miembros  y  monitorizar 
automaticamente  sus  difusiones  publicas  por  radio,  TV  e  Internet.  De  esta  forma,  la  alianza  entre  SGAE  y 
Verance  supone  un  hito  en  la  historia  de  la  moderna  lucha  contra  la  pirateria  digital. 

En  el  futuro,  los  reproductores  MP3,  incluido  Rio,  que  cumplan  con  las  especificaciones  de  la  SDMI,  solo 
seran  capaces  de  reproducir  la  musica  grabada  legalmente,  dotando  asi  a  las  companias  discograficas  de 
mayor  control  sobre  sus  materiales  protegidos.  Con  esta  iniciativa,  la  RIAA  pretende  adoptar  un  marco 
comun  para  que  artistas  y  empresas  de  tecnologia  y  sellos  discograficos  puedan  utilizar  Internet  como 
nuevo  canal  de  distribucion,  novedoso  y  potencialmente  muy  beneficioso.  Eso  si,  velando  por  la  proteccion 
de  los  derechos  de  autor  legitimos. 

Queda  por  ver  la  aceptacion  que  tendran  estas  nuevas  medidas  entre  el  publico  y  las  pequenas  casas  y 
distribuidoras  y  tiendas  de  musica.  f,Se  pretende  salvaguardar  las  ventas  de  los  grandes  sellos,  que  ven 
amenazada  su  posicion  de  abuso  con  la  democratizacion  de  las  tecnologias  de  copia  y  reproduction  de 
musica,  0  proteger  los  derechos  de  autor  de  los  artistas?  La  criptografia  no  da  respuestas  a  estas  preguntas, 
ofrece  herramientas  para  proteger  la  propiedad  intelectual,  como  las  marcas  de  agua,  pero  nunca  infalibles. 
Y  si  no,  que  le  pregunten  a  Stephen  King. 


Gonzalo  Alvarez  Maranon 
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04/05/2000  Consideraciones  sobre  VBS.LoveLetter,  un  gusano  muy  simple 

Pese  a  la  fiebre  mediatica  que  ha  desatado,  merecida  solo  en  parte  por  la  propagation  que  ha  conseguido, 
a  la  postre  la  mayor  de  toda  la  historia,  debemos  de  tener  en  cuenta  que  en  realidad  se  trata  de  un  script 
que  ha  de  interpretarse,  un  gusano  muy  simple,  con  su  codigo  al  descubierto,  que  analizaremos  al  detalle 
en  una  proxima  entrega. 

No  hay  un  antes  y  un  despues  de  este  gusano,  al  menos  en  el  apartado  tecnico,  aunque  la  eficacia  conseguida 
a  la  hora  de  propagarse,  gracias  en  gran  parte  al  factor  humano,  tal  vez  sea  utilizada  como  excusa  para 
implantar  nuevas  medidas  y  restricciones  en  las  politicas  de  seguridad  y  control. 

En  cuanto  a  las  casas  antivirus,  por  un  lado  solo  cabe  felicitarlas  por  su  rapida  actuation,  apenas  unas 
horas  despues  los  clientes  contaban  con  actualizaciones  para  detectar  y  eliminar  el  gusano,  y  hasta  se  han 
facilitado  utilidades  gratuitas  para  los  usuarios  no  registrados. 

Por  otro  lado,  mientras  las  casas  de  software  hacen  su  particular  agosto,  mas  de  uno  se  preguntara  como  es 
posible  que  un  gusano  tan  simple,  con  tecnicas  conocidas,  ha  podido  atacar  por  igual  a  los  que  disponian 
de  un  antivirus  actualizado  como  a  los  que  iban  a  “pecho  descubierto”.  El  modelo  actual  de  los  antivirus 
es  eficaz  contra  virus  conocidos,  promesas  de  anuncios  y  heuristicas  al  margen,  hoy  dia  sigue  siendo  muy 
facil  saltarse  esta  barrera  de  protection  que  casos  como  el  de  VBS.LoveLetter  ponen  en  entredicho. 

Internet  se  ha  convertido  en  todo  un  handicap  para  los  antivirus,  si  bien  es  cierto  que  han  ganado  en 
capacidad  de  actualization,  los  virus  tampoco  dejan  de  aprovechar  las  ventajas  de  la  Red,  pudiendo 
propagarse  por  miles  de  sistemas  antes  que  los  laboratories  hayan  terminado  de  analizar  el  especimen. 

El  modelo  de  detection  de  virus  conocidos,  resolutivo  en  epocas  pasadas  cuando  la  infection  entre 
sistemas  aislados  se  producia,  por  ejemplo,  al  intercambiar  disquetes,  pierde  eficacia  cuando  el  ciclo 
de  propagation  entre  millones  de  maquinas  via  Internet  se  reduce  a  unas  pocas  horas.  La  realidad  es 
que  existen  soluciones  de  seguridad  mas  efectivas,  basta  que  las  empresas  de  software  se  planteen  las 
necesidad  de  una  pequena  revolution. 

Dejando  al  margen  los  antivirus,  necesarios  y  recomendables,  asi  como  a  Internet,  de  cuyo  beneficio 
nadie  duda,  VBS.LoveLetter  pone  de  nuevo  el  dedo  en  la  llaga:  la  inseguridad  de  Microsoft.  Una  vez  mas 
los  usuarios  de  Linux  se  han  convertido  en  meros  espectadores,  protegidos  por  un  modelo  de  seguridad 
mucho  mas  robusto  que  el  de  Windows,  y  donde  los  virus,  hasta  la  fecha,  son  simples  anecdotas. 

En  el  ultimo  escalon  nos  encontramos  con  el  factor  humano,  que  es  sin  duda  el  gran  protagonista  en  el 
caso  de  VBS.LoveLetter,  donde  la  Ingenieria  Social  de  este  simple  gusano  ha  obtenido  mejores  resultados 
a  la  hora  de  propagarse  que  las  complicadas  tecnicas  desarrolladas  bajo  ensamblador  de  otros  virus  mucho 
mas  sofisticados.  Una  vez  mas,  es  en  ultima  instancia  el  usuario  quien  tiene  en  su  mano  la  seguridad  de  los 
sistemas,  y  quien  debe  ser  consciente  y  responsable  del  peligro  que  entranan  sus  acciones  en  determinadas 
situaciones. 


Bernardo  Quintero 
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12/07/2000  Carnivoro 

Carnivoro  es  el  nombre  del  nuevo  invento  del  FBI.  Resulta  un  poco  “gore”,  asusta  solo  el  nombrecito  y,  lo 
que  puede  hacer  tambien.  Vigila,  intercepta  y  analiza  grandes  cantidades  de  correo  electronico,  va  mas 
alia  de  lo  que  imagino  la  propia  ley  sobre  Privacidad  en  Comunicaciones  Electronicas  (ECPA). 

Esta  semana  he  recibido  varias  cartas  interesantes,  una  de  ellas  me  habla  de  Carnivoro  y  me  adjuntan  la 
misiva  enviada  por  Laura  W.  Murphy,  Barry  Steinhardt,  y  Gregory  T.  Nojeim,  cupula  directiva  de  ACLU, 
(American  Civil  Liberties  Union),  a  varios  representantes  del  pueblo  norteamericano,  los  honorables 
Charles  T.  Canady,  y  Melvin  L.  Watt.  Carta  que  deja  clara  la  protesta  por  la  existencia  misma  de  dicho 
Carnivoro  que  segun  los  autores  de  la  carta  podria  incluso  violar  la  Cuarta  Enmienda. 

A1  parecer  de  la  existencia  de  Carnivoro  ya  se  sabia  desde  el  6  de  abril,  basicamente  un  software  muy 
especializado  instalado  directamente  en  los  propios  ISPs,  (Internet  Service  Provider’s),  0  proveedores 
de  servicios,  que  intercepta  en  tiempo  real  los  contenidos  de  las  comunicaciones  individuates, permite 
el  acceso  a  todo  el  correo  de  todos  los  clientes  del  ISP,  y  de  todas  personas  que  comuniquen  con  dicho 
proveedor,  las  copia,  tracea  y  registra,  basta  con  darle  una  0  varias  palabras  a  buscar  en  cada  correo. 

Carnivoro  accede  a  todo  el  trafico  del  ISP,  y  no  solo  a  las  comunicaciones.  Segun  los  autores  de  la  carta, 
Carnivoro  analiza  millones  de  mensajes  por  segundo,  reteniendo  solo  los  que  tengan  determinadas 
palabras  buscadas,  hace  su  trabajo  sin  informar,  despues  al  ISP  (antes  si,  ya  que  puede  ser  obligado  a 
instalar  el  programa).  Y  lo  peor  de  todo,  sin  informar  antes  al  Juzgado.  Aunque  no  lo  sepan  algunos, 
tambien  en  Estados  Unidos  es  necesaria  una  orden  judicial  para  tal  tipo  de  comportamiento. 

El  FBI  asegura  que  solo  graban  lo  que  tiene  un  perfil  determinado,  y  sobre  la  necesidad  de  orden  judicial 
para  ello,  vienen  a  contestar,  algo  asi  como  “creed  en  nosotros,  somos  lo  buenos,  los  chicos  del  gobierno”. 
Como  principio  general  en  las  legislaciones  occidentales  la  interceptacion  de  comunicaciones  debe  ser 
algo  excepcional,  no  habitual,  debe  minimizarse,  para  un  tiempo,  persona  y  conducta  determinada,  y  por 
supuesto  debe  estar  autorizada  por  el  Juez,  Carnivoro  obviamente  hace  todo  lo  contrario. 

En  Espana  se  pueden  ver  como  derecho  material  los  art.  197  y  536  del  Codigo  Penal,  0  en  jurisprudencia 
las  sentencias  del  Tribunal  Constitucional  107/85,  la  64/86,  la  49/96  de  26  de  marzo,  la  34/96  del  11  de 
marzo;  el  auto  del  Tribunal  Supremo  18/6/92,  o  la  sentencia  del  mismo  organo  de  23/11/95,  la  de  28/3/96. 
Y  ello  solo  para  empezar. 

Para  los  miembros  de  ACLU  seria  ilegal,  (legislation  norteamericana),  que  el  gobierno  pueda  obtener  de 
un  ISP  las  entradas  y  salidas  de  correo  de  un  cliente,  direction  de  correo,  IP,  etc.,  consideran  tambien 
ilegal  que  los  ISPs  puedan  ser  obligados  a  instalar  semejante  “trampa”  en  sus  maquinas.  Para  el  ACLU  la 
cuarta  enmienda  prohibiria  tal  cosa,  ya  que  prohibe  el  acceso  a  los  contenidos,  incluida  la  “subject”  del 
mensaje,  el  cual  es  ya  contenido. 

El  FBI  ya  no  necesita  ni  a  Kevin  Mitnick,  que  aunque  salio  de  prision  en  enero,  solo  desde  el  dia  10  de  Julio 
la  Juez  Federal  Marianne  Pfaelzer  le  permite  contestar  a  algunas  de  las  ofertas  de  trabajo  recibidas,  alguna 
de  ellas  en  el  campo  de  la  seguridad  informatica;  e  incluso,  ya  puede  escribir  sobre  materia  tecnologica  y 
hablar  en  publico,  ya  lo  ha  hecho  en  la  KFI,  radio  de  Los  Angeles. 

Lastima  no  le  preguntaran  su  opinion  sobre  Carnivoro.  Total,  por  cosas  similares  el  fue  a  la  carcel,  en 
cambio  otros,  ni  siquiera  dimiten. 

Eusebio  del  Valle 
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18/09/2000  Aparece  el  primer  virus  “companion”  para  NTFS 

Hace  apenas  unas  semanas  el  mundo  de  los  virus  informaticos  volvia  a  experimentar  una  revolution  en 
el  campo  de  la  investigation  y  el  desarrollo  de  nuevas  tecnicas  de  infection;  en  esta  ocasion  se  ha  tratado 
de  “Stream”,  que  pasara  a  la  historia  por  ser  el  primer  patogeno  de  tipo  “companion”  nativo  para  sistemas 
de  tipo  NTFS. 

La  inmensa  mayoria  de  los  virus  informaticos,  desde  la  aparicion  de  “Brain”  en  1986,  se  puede  subdividir 
en  dos  grandes  grupos,  en  funcion  del  tipo  de  infection  aplicada  a  los  ficheros  “huesped”  0  victimas  del 
contagio:  “appending”  (anexion  del  codigo  maligno  al  final  del  archivo),  la  mas  comun,  especialmente 
con  la  llegada  de  los  sistemas  de  32  bits,  y  “prepending”  (adhesion  del  cuerpo  del  virus  antes  del  codigo 
original),  caracteristica  de  un  nutrido  grupo  de  especimenes  experimentales  de  las  primeras  oleadas  en 
la  era  del  DOS. 

Otros  metodos  menos  convencionales  pero  tambien  frecuentados  por  diversos  autores  han  sido  el  de 
“overwriting”  (sobreescritura  del  fichero  huesped  con  el  codigo  video)  y  el  de  “spawning”  0  “companion”, 
consistente  en  sustituir  un  programa  original  con  una  copia  del  virus  que,  al  ser  ejecutada,  se  encargara  de 
correr  la  aplicacion  huesped,  previamente  renombrada  y  escondida  de  los  ojos  del  usuario  afectado. 

El  origen  de  esta  tecnica  de  infection  -que  generalmente  conserva  intacto  e  integro  el  codigo  de  los  ficheros 
originales-  se  puede  encontrar  en  la  jerarquia  ejecutiva  prevalente  en  el  DOS,  mediante  la  cual  un  fichero 
de  extension  COM  con  identico  nombre  que  uno  de  extension  EXE  estaba  dotado  de  preferencia.  Asi, 
se  daba  la  circunstancia  de  que  si  el  usuario  ejecutaba  “programa”  -sin  especificar  extension  alguna-  y 
existian  los  ficheros  de  nombre  “programa.exe”  y  “programa.com”,  era  este  ultimo  el  primero  en  el  orden 
de  ejecucion. 

Aprovechandose  de  esta  caracteristica,  los  virus  “companion”  mas  antiguos  lo  tenian  tan  facil  como 
buscar  archivos  de  un  tipo  determinado  de  extension  y  renombrarlos,  creando  una  copia  de  su  propio 
codigo  con  el  nombre  original  del  fichero  afectado,  de  forma  que  la  carga  maligna  sea  ejecutada  cada  vez 
que  el  usuario  desee  correr  un  programa,  que  acaba  siempre  por  ser  lanzado  por  el  propio  virus,  tras  haber 
llevado  a  cabo  sus  menesteres. 

Afios  mas  tarde,  cuando  una  tecnica  de  semejante  primitivismo  ya  habia  quedado  desfasada,  los  autores 
de  virus  han  vuelto  a  darle  la  vuelta  a  la  tortilla  y  han  encontrado  una  manera  de  volver  a  dar  vida  a  un 
resorte  de  tecnologia  vinca  que  habia  caido  en  el  olvido;  uno  de  los  programadores  de  “Stream”,  el  checo 
“Benny”,  ya  habia  pasado  a  la  posteridad  meses  antes  tras  su  participation  en  la  escritura  de  “Install”,  el 
primer  virus  para  Windows2000. 

La  adaptation  del  mecanismo  “companion”  puesta  en  practica  por  el  virus  “Stream”  ha  sido  ya  bautizada 
como  “stream  companion”,  de  donde  el  patogeno  ha  tornado  su  nombre.  Se  trata  de  un  metodo  de  infection 
valido  unica  y  afortunadamente  para  ordenadores  con  sistema  de  ficheros  NTFS,  el  que  emplean, 
principalmente,  tanto  WindowsNT  como  Windows2000.  El  motivo  radica  en  el  hecho  de  que  en  estas 
plataformas  ha  sido  habilitado  por  Microsoft,  su  desarrollador,  un  complejo  mediante  el  cual  cada  fichero 
posee  un  flujo  de  datos  o  “data  stream”  al  que  se  pueden  asociar  otros  elementos  analogos,  accesibles 
mediante  su  nombre  personal,  que  responde  al  formato  “nombre_fichero:nombre_flujo”. 

La  asociacion  de  un  flujo  con  su  fichero  es  permanente,  y  asi,  resulta  imposible  de  acceder  0  modificar  sin 
previa  referenda  a  su  “companero”,  al  que  permanece  “grapado”  incluso  si  este  es  renombrado  o  borrado, 
algo  que  complica  sobremanera  la  detection  de  “Stream”,  al  no  existir  herramientas  incluidas  por  defecto 
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en  el  sistema  para  editar  o  visualizar  los  flujos  de  un  archivo. 

Lejos  de  tratarse  de  una  tecnica  de  implementation  laboriosa,  la  longitud  del  codigo  de  este  patogeno  es 
tan  insignificante  como  irrelevante,  especialmente  tras  haber  sido  procesada  por  el  compresor  “Petite”, 
que  reduce  el  tamano  de  “Stream”  a  tan  solo  cuatro  kilobytes.  A1  tratarse  de  un  especimen  de  caracter 
experimental,  de  su  action  expansiva  potential  podria  decirse  que  se  encuentra  en  relation  directamente 
proporcional  con  la  longitud  del  virus:  su  action  maligna  se  limita  a  intentar  infectar  todos  los  ficheros  del 
directorio  actual.  En  caso  de  fallo,  “Stream”  muestra  el  siguiente  mensaje  en  pantalla: 

[  Win2k.Stream  by  Benny/29A  &  Ratter  ] 

This  cell  has  been  infected  by  [Win2k.Stream]  virus! 

[OK] 

La  rutina  de  contagio,  por  su  parte,  se  limita  a  acceder  a  cada  uno  de  los  ficheros  encontrados  y  a  copiar 
el  codigo  original  en  un  nuevo  flujo,  de  nombre  “STR”,  sustituyendolo  en  el  “stream”  principal  por  una 
copia  del  virus,  que,  tras  ser  ejecutada,  se  encarga  de  ceder  el  control  al  archivo  huesped,  accesible  por 
medio  de  la  ruta  “nombre_fichero:STR”.  Como  nota  anecdotica  cabria  resaltar  que  -por  motivos  hasta 
ahora  desconocidos-  a  pesar  de  que  la  tecnica  de  “stream  companion”  es  perfectamente  compatible  con 
WindowsNT,  los  autores  de  “Stream”  incluyeron  en  el  codigo  de  su  creation  una  rutina  que  le  impide 
correr  en  otras  versiones  del  sistema  operativo  de  Microsoft  distintas  a  Windows2000,  reduciendo  aun 
mas  si  cabe  el  posible  radio  de  action  del  virus  en  caso  de  ser  liberado. 


Giorgio  Talvanti 


27/10/2000  Caso  Microsoft:  debilidades  en  el  planteamiento 

La  filtration  original  en  el  Wall  Street  Journal,  de  una  fuente  no  identificada,  situa  al  troyano  “Qaz”  como 
la  herramienta  usada  por  los  atacantes  para  introducirse  en  la  red  interna  de  Microsoft.  Este  rumor  no 
confirmado  se  ha  convertido  en  la  hipotesis  “oficial”  a  la  que  medios  y  “expertos”  han  recurrido  para 
explicar  el  ataque.  Vamos  a  ver  sus  principales  puntos  debiles,  tanto  de  la  hipotesis  como  del  troyano,  que 
lo  convierten  en  una  herramienta  que  ni  siquiera  cumpliria  su  objetivo  contra  la  red  de  cualquier  mediana 
empresa. 

-  cComo  funciona  “Qaz”? 

“Qaz”  es  un  ejecutable  Win32,  escrito  en  Visual  C++.  Cuando  se  ejecuta,  busca  una  copia  del  fichero 
NOTEPAD.EXE  (Bloc  de  Notas  de  la  carpeta  Windows)  y  lo  renombra  como  NOTE.COM,  a  continuation 
“Qaz”  se  copia  con  el  nombre  de  NOTEPAD.EXE.  Esto  provoca  que,  cada  vez  que  se  intente  lanzar  el  Bloc 
de  Notas  en  un  sistema  infectado,  primero  se  ejecuta  el  troyano,  y  este  a  su  vez  llama  a  NOTE.COM,  por  lo 
que  el  usuario  no  percibe  a  primera  vista  ninguna  irregularidad.  El  troyano  es  capaz  de  propagarse  a  traves 
de  las  unidades  compartidas  de  las  redes  locales,  donde  intenta  localizar  la  carpeta  de  Windows,  para  lo 
cual,  busca  la  cadena  “WIN”,  y  realiza  con  NOTEPAD.EXE  la  misma  operation  ya  descrita.  Por  ultimo, 
destaca  en  “Qaz”  su  funcionalidad  como  backdoor,  envia  la  direction  IP  de  los  ordenadores  infectados  a 
su  autor  via  correo  electronico  (a  buzones  localizados  en  China  originalmente),  y  abre  una  puerta  trasera 
en  el  puerto  TCP  7597,  por  el  cual  el  autor  del  virus  puede  acceder  de  forma  remota  al  sistema  de  sus 
victimas. 

-  La  victima:  el  empleado  de  Microsoft 
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En  una  red  local  los  ordenadores  no  se  conectan  directamente  a  Internet,  sino  que  cuentan  con  un  servidor 
proxy  a  traves  del  cual  se  comunican  con  el  exterior,  ya  sea  para  recoger/enviar  correo,  visitar  paginas 
webs  o  cualquier  otra  conexion.  Este  esquema  tambien  supone  un  primer  nivel  de  seguridad,  al  impedir 
las  conexiones  directas  desde/hacia  el  exterior,  y  es  el  mismo  que  cualquier  pequena  o  mediana  empresa 
utiliza  para  aprovechar  la  conexion  de  varios  ordenadores  mediante  una  unica  linea  telefonica. 

-  Problema  en  el  planteamiento 

En  el  caso  de  que  “Qaz”  infectara  un  ordenador  de  una  red  local,  ejemplo  Microsoft,  el  troyano  abriria  en 
esa  maquina  el  puerto  TCP  7579  y  enviaria  a  continuation  la  direccion  IP  local  de  la  victima  al  atacante 
por  correo  electronico  a  traves  del  proxy.  Una  vez  recibida  la  direccion  IP,  el  atacante  no  puede  conectarse 
a  ese  ordenador,  ya  que  esa  IP  es  interna  y  no  esta  accesible  desde  Internet.  Cuando  se  trata  de  un  usuario 
particular,  que  accede  de  forma  directa  a  Internet,  “Qaz”  si  se  muestra  efectivo. 

-  fPodria  el  atacante  conocer  la  direccion  del  servidor  proxy? 

De  forma  facil,  ya  que  podria  recibir  la  direccion  en  la  cabecera  del  mensaje  de  correo  electronico  que 
manda  “Qaz”.  El  atacante  si  podria  intentar  interactuar  con  la  direccion  IP  del  proxy,  si  bien  no  podria 
acceder  remotamente  por  la  puerta  trasera  via  TCP  7579,  ya  que  el  proxy  no  se  encuentra  infectado. 

-  Si  “Qaz”  se  transmite  a  traves  de  las  redes  locales,  tno  podria  haber  infectado  al  servidor  proxy? 

“Qaz”  solo  se  transmite  entre  las  unidades  compartidas  de  una  red  local.  Un  proxy  por  defecto,  bien 
configurado,  no  debe  compartir  su  unidad  sin  ningun  tipo  de  protection. 

-  Bueno,  tal  vez  el  proxy  de  Microsoft  estuviera  mal  configurado,  fno? 

En  cualquier  caso,  seria  necesario  que  compartiera  toda  la  unidad  con  acceso  lectura/escritura  (un 
error  aun  menos  probable),  ya  que  “Qaz”  busca  la  carpeta  de  “Windows”  para  escribir  en  ella  la  copia  del 
troyano. 

-  Vale,  aunque  imposible,  supon  que  hubiera  llegado  alii 

“Qaz”  no  es  capaz  de  ejecutarse  a  traves  de  la  red  local,  solo  situa  el  fichero  infectado  en  una  position 
optima  para  que  un  usuario  lo  ejecute  (simulando  al  bloc  de  notas).  En  el  caso  del  servidor  proxy  de  una 
gran  empresa  no  hablamos  de  un  terminal  que  se  utilice  como  una  estacion  de  trabajo  por  un  usuario,  sino 
de  un  servidor  dedicado,  lo  que  dificultaria  tambien  que  se  ejecutara. 

-  Bueno,  una  posibilidad  entre  1  millon,  pero  pudo  darse,  f.no? 

Hasta  ahora  solo  habiamos  hablado  del  servidor  proxy  como  escalon  de  seguridad,  en  cualquier  empresa  con 
una  politica  de  seguridad  minima  debemos  de  contar  con  la  figura  del  cortafuegos  que  filtra  las  conexiones 
en  base  a  una  configuration,  como  minimo  se  limita  el  acceso  solo  a  traves  de  unos  determinados  puertos. 
Un  troyano  tan  limitado  como  “Qaz”  tampoco  salvaria  este  obstaculo,  el  cortafuegos  impediria  la  conexion 
desde  el  exterior. 

-  f.Existen  mas  puntos  en  contra? 

Si,  “Qaz”  es  un  troyano  conocido  desde  principios  de  agosto,  la  mayoria  de  las  casas  antivirus  detectan 
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y  eliminan  desde  entonces  este  especimen.  Muchas  empresas  utilizan  distintos  niveles  de  protection 
antivirus,  que  llegan  hasta  el  chequeo  de  los  mensajes  de  correo  electronico  en  el  servidor,  lo  que  hubiera 
impedido  que  llegara  el  troyano  al  empleado  de  Microsoft. 

-  Bueno,  tal  vez  se  utilizo  contra  este  empleado  en  un  primer  momento,  antes  que  las  casas  lo  identificaran  y 
detectaran.  La  version  original  de  “Qaz”  enviaba  los  mensajes  de  correo  electronico  a  una  cuenta  de  China, 
en  este  caso  se  trataria  de  una  version  modificada  (posterior)  que  un  atacante  configura  para  beneficio 
propio.  Aunque  se  hubiera  utilizado  antes  de  que  los  antivirus  lo  incluyeran  en  su  base  de  datos  de  firmas, 
un  antivirus  local  con  una  actualization  mas  o  menos  reciente  lo  habria  detectado  a  posteriori. 

-  <LEs  normal  que  un  “hacker”  (deberiamos  decir  “cracker”)  de  cierto  nivel,  como  para  comprometer  a 
Microsoft,  utilice  un  troyano  de  estas  caracteristicas? 

No,  cualquier  atacante  de  cierto  nivel  programara  las  herramientas  de  forma  personalizada,  lo  que  le 
permite  ajustarse  a  las  necesidades  de  la  operation  y  asegurarse  de  que  ningun  antivirus  va  a  detectarlo 
como  “malware”. 

-  r'.Es  posible  que  con  un  esquema  similar,  evitando  las  debilidades  intrinsecas  de  “Qaz”,  se  haya  podido 
llevar  una  intrusion  en  la  red  de  Microsoft? 

Si,  hay  muchas  formas  de  vulnerar  la  seguridad  de  una  red,  sobre  todo  en  entornos  basados  en  los  productos 
de  Microsoft.  Es  posible  realizar  un  ataque  similar,  mas  efectivo,  basado  en  las  propias  debilidades  de 
Windows,  sin  necesidad  de  una  cabeza  de  turco  como  “Qaz”. 

-  tPor  ejemplo? 

En  la  proxima  entrega. 

Bernardo  Quintero 


Entrevista 


Juan  Salom  es  el  Jefe  del  Grupo  de  Delitos  Telematicos  de  la  Unidad  Central 
Operativa  de  la  Guardia  Civil  desde  el  2000.  Hispasec  siempre  ha  colaborado  con 
ellos  en  lo  que  han  estimado  oportuno.  Resulta  muy  sencillo  ayudar  a  personas  que 
estan  siempre  dispuestas  a  aprender  y  aprecian  tanto  su  trabajo.  Su  labor  cuenta  con 
lucha  contra  el  fraude  online  y  la  difusion  de  pornografia  infantil. 

Hispasec:  c'.Cuando  y  como  se  creo  el  Grupo  de  Delitos  Telematicos? 

Juan  Salom:  El  Grupo  de  Delitos  Telematicos  fue  creado  a  finales  del  ano  1.996, 
de  la  Unidad  Central  Operativa  de  la  Guardia  Civil.  Tras  una  serie  de  investigaciones  que  pusieron  en 
evidencia  la  necesidad  de  especializar  personas  en  la  investigation  informatica,  a  finales  de  ese  ano,  se 
constituyo  el  embrion  del  actual  Grupo  de  Delitos  Telematicos  de  la  Guardia  Civil.  Compuesto  por  cuatro 
agentes  y  un  oficial  que  combinaban  experiencia  investigadora  y  conocimientos  informaticos,  empezo  a 
andar  la  unidad.  Trabajo  no  le  falto,  y  enseguida  llegaron  los  primeros  exitos.  Operaciones  como  TOCO  e 
HISPAHACK,  tuvieron  un  importante  eco  mediatico,  no  tanto  por  su  dificultad  como  por  su  novedad.  El 
concepto  de  “ciberpolicia”  empezaba  a  asentarse.  La  pequena  unidad  de  Delitos  Informaticos  pedia  pan  y 
habia  que  darle  de  comer.  Su  plantilla  se  duplico  y  llegaron  mas  servicios. 


li 

Juan  Salom 
muchos  exitos  en  la 

encuadrado  dentro 
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H:  fcComo  te  metiste  en  esto? 


JS:  El  esfuerzo  inicial  estaba  hecho  y  la  factura  de  ese  trabajo  personal  fue  muy  alta.  Quiza  por  eso,  su 
jefe,  un  entranable  amigo,  decidio  pasar  el  testigo.  Rondaba  el  inicio  del  ano  2000.  Casualidades  de  la 
vida  me  llevaron  a  optar  a  ese  puesto.  Yo  era  un  hombre  de  investigacion.  Me  habia  curtido  como  oficial  e 
investigador  en  otras  lides.  Acababa,  como  quien  dice,  de  llegar  a  Madrid.  Mi  mision  era  otra,  el  blanqueo 
de  capitales.  Recien  empezaba  en  ese  mundo  y  de  repente  la  suerte  llamo  a  mi  puerta.  Y  digo  suerte  con 
la  perspectiva  de  los  anos,  entonces  era  el  reto.  r'.Quc  sabia  yo  de  informatica?  Un  aficionado,  de  esos  que 
se  identifican  en  las  entrevistas  con  el  triste  “conocimientos  a  nivel  usuario”.  Pero  los  retos  me  atraen  y  la 
ignorancia  es  muy  atrevida.  Y  alii  me  lance,  a  intentar  hacerlo  lo  mejor  que  supiera. 

Lo  primero  que  hice,  lo  que  hace  todo  jefe  para  que  se  note  que  ha  llegado,  fue  mover  la  mesa  y  cambiar  el 
nombre  de  la  unidad.  Nos  llamariamos  Grupo  de  Delitos  Telematicos.  Hoy  se  mantiene  el  nombre,  lo  que 
significa  que  continuo  en  el  puesto.  Despues,  seguir  los  consejos  de  mi  antecesor,  que  fueron  pocos  pero 
precisos:  Leete  este  libro  que  te  permitira  conocer  los  conceptos  basicos  de  redes,  procura  estar  al  dia  en 
las  innovaciones  que  van  apareciendo  y  dejate  ayudar  por  todos  aquellos  que  nos  quieren  y  nos  valoran. 

Y  asi  empece  las  interminables  horas  de  estudio  con  el  modelo  de  protocolos  OSI,  con  los  TCP/IP,  las 
tipologias  de  redes,...  hasta  que  entendi  mmimamente,  o  eso  creia  yo,  que  era  eso  de  la  red  de  redes, 
Internet,  y  los  distintos  servicios.  Los  siguientes  pasos  fueron  buscar  las  fuentes  para  mantenerme 
actualizado  en  mis  escasos  conocimientos  y  a  ser  posible  incrementarlos,  y  conocer  a  todos  aquellos  que 
pudieran  y  quisieran  apoyar  a  los  “ciberpolicias”  de  la  Guardia  Civil.  Y  ahi  entrasteis  vosotros,  Hispasec  con 
Una-al-dia.  Desde  entonces  me  habeis  acompanado  en  mi  viaje  de  direction  de  un  grupo  de  investigacion 
informatica. 

H:  fcCual  fue  tu  primer  contacto  con  Hispasec? 

JS:  Por  aquel  entonces,  desde  mi  ignorancia  (que  aun  mantengo)  alucinaba  con  Una-al-dia.  tComo  es 
posible  que  alguien  escriba  todos  los  dias  sobre  un  tema  tan  tecnico?  ?  Habra  tantas  noticias?  Hoy  sigo 
alucinando,  no  por  el  hecho  de  escribir  todos  los  dias,  que  con  la  cultura  de  la  web  2.0,  es  algo  ya  superado, 
sino  con  la  calidad  tecnica  y  claridad  de  los  articulos.  La  lectura  diaria  de  vuestras  noticias  no  hacia  mas 
que  incrementar  mi  admiration  por  vosotros.  Y  para  colmo,  otros  foros  del  mundo  de  la  seguridad  TIC, 
repetian  vuestras  noticias. 

Por  el  papel  que  me  ha  tocado  jugar,  mi  ambito  de  relaciones  en  este  mundillo  se  iba  ampliando  y  mi 
presencia  era  reclamada  en  distintos  foros  que  deseaban  conocer  la  respuesta  que  daba  la  Guardia  Civil 
frente  al  problema  de  la  delincuencia  informatica.  Y  alii  donde  acudia,  cuanto  mas  tecnico  era  el  encuentro, 
alii  encontraba  referencias  a  Hispasec.  Hasta  en  Sudamerica  se  os  conocia.  Hubo  un  momento,  de  verdad, 
que  me  planted  como  objetivo  tactico  el  contactar  con  vosotros.  Y  si  antes  lo  pienso,  antes  surge  la  ocasion. 
Un  buen  dia,  alii  por  el  ano  2003,  se  recibe  en  la  cuenta  de  correo  del  Grupo  de  Delitos  Telematicos  un 
mensaje  informando  sobre  un  presunto  ataque  a  los  servidores  de  Hispasec.  En  cuanto  me  pasaron  el 
mail,  le  di  la  maxima  prioridad.  Esa  era  mi  brecha  y  debia  aprovecharla.  Y  para  Malaga  que  me  fui.  Eso 
si,  acompanado  de  mi  hombre  mas  tecnico  y  temeroso  de  encontrarme  y  enfrentarme  con  “gurus”  de  la 
seguridad  de  la  information.  Y  hete  aqui  que  encontre  sapiencia  y  sencillez.  Por  suerte,  aquella  denuncia 
dio  lugar  a  una  sencilla  investigacion  con  final  feliz.  Pero  lo  mas  importante  fue  el  camino  abierto.  Desde 
entonces  nos  hemos  reunido  varias  veces,  hemos  coincidido  en  encuentros  o  jornadas,  algunas  organizadas 
por  nosotros,  sigo  leyendo  y  aprendiendo  de  vuestro  Una-al-dia  y  los  boletines  mensuales  sobre  fraude 
bancario,  hemos  investigado  juntos  y,  sobre  todo,  lo  mas  importante,  cuando  os  hemos  llamado,  alii 
estabais. 
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Ya  habeis  visto  que  yo  soy  pedigiieno  por  naturaleza.  Para  ser  mas  claros,  que  no  me  corto  a  la  hora  de 
pedir.  Pido  apoyo  para  el  Grupo  de  Delitos  Telematicos,  para  su  trabajo.  Somos  pocos  y  nuestro  saber  es 
limitado.  Somos  Guardias  Civiles,  investigadores  formados  en  el  campo  de  la  informatica,  y  no  informaticos 
formados  en  el  campo  de  la  investigation.  Y  eso  tiene  sus  contrapartidas.  Nuestras  limitaciones  tecnicas. 
Y  contra  eso,  siguiendo  el  consejo  de  mi  antecesor,  no  tenemos  otra  solution  que  apoyarnos  en  los  amigos, 
en  gente  como  vosotros. 

H:  fcCuales  han  sido  vuestros  exitos  mas  importantes? 

JS:  Relacionados  con  los  delitos  y  al  margen  de  la  pornografia  infantil,  recuerdo  exitos  como  por 
ejemplo: 

En  2003 ,  la  operation  Piolin.  Identification  y  detention  de  una  persona  que  tras  la  instalacion  de  programas 
del  tipo  troyano,  obtuvo  contrasenas  ajenas  para  acceder  al  servicio  de  banca  electronica.  Una  vez  en  su 
poder,  realizo  distintas  transferences  bancarias  hasta  paraisos  fiscales. 

En  2003,  la  operation  Ronnie.  Esclarecimiento  del  mayor  ataque  documentado  de  Denegacion  de  Servicios 
Distribuidos  (DDoS)  a  distintos  servidores  de  Internet,  que  afecto  a  mas  del  30%  de  los  internautas 
espanoles  y  a  varios  de  los  proveedores  de  Internet  mas  importantes  de  Espana. 

En  2003  tambien,  la  operation  Cion.  Detention  de  una  persona  presuntamente  implicada  en  la  creation  y 
difusion  de  un  virus  informatico  (tipo  troyano)  que  podria  haber  afectado  a  mas  de  100.000  usuarios  de 
Internet  en  lengua  castellana.  Se  trata  del  famoso  “cabronator”. 

Ya  en  2005,  la  operation  Pampa.  Desarticulacion  de  una  red  internacional  de  delincuentes  dedicados  al 
fraude  del  “phishing”,  cuyo  responsable  se  ubicaba  en  Argentina,  logrando  la  colaboracion  internacional. 

H:  iComo  ves  el  futuro? 

JS:  Sabeis,  al  igual  que  yo,  que  el  escenario  de  la  delincuencia  informatica  es  cada  vez  mas  complejo, 
y  que  ha  dejado  de  ser  un  problema  de  la  administration  para  ser  un  problema  de  todos.  Aquellos  que 
teneis  un  papel  importante  en  esta  sociedad  de  la  information,  teneis  un  compromiso  social  para  con 
ella.  Debemos  arrimar  el  hombro  para  lograr  un  Internet  mas  seguro.  Por  eso,  estoy  seguro  que  con 
lo  insistente  que  soy,  probablemente,  en  algun  momento,  podeis  haber  pensado  que  haciais  esto  0  lo 
otro  para  el  pesado  de  Juan,  o  para  los  del  Grupo  de  Delitos  Telematicos.  Por  eso  quiero  reivindicar  que 
Hispasec,  desde  su  esfuerzo  de  informarnos  y  ponernos  al  dia  frente  a  los  problemas  de  seguridad,  y 
desde  el  apoyo  que  ha  prestado  numerosas  veces  al  Grupo  de  Delitos  Telematicos  de  la  Guardia  Civil,  no 
ha  hecho  mas  que  asumir  ese  compromiso  de  responsabilidad  social.  Como  representante  de  una  unidad 
policial  comprometida  directamente  con  la  seguridad  de  la  sociedad  de  la  information,  gracias,  y  como 
destinatario  muchas  veces  directo  de  esa  ayuda,  mil  gracias  mas.  Y  por  favor,  no  abandoneis  el  camino. 
Sin  vosotros  nos  sentiriamos  mas  inseguros.  Se  me  olvidaba,  iFelicidades  Una-al-dia!  Por  el  bien  de  todos, 
que  cumplas  muchos  mas. 
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Durante  este  ano... 


_  Alguien  celebro  la  llegada  del  2001  instalando  durante  la  noche  un  monolito  de  casi 
tres  metros  de  alto  en  Washington’s  Magnuson  Park  de  Seattle,  en  clara  referenda  a 
2001:  Una  odisea  en  el  espacio.  El  objeto  desaparecio  tan  misteriosamente  como  vino. 

_  El  15  de  enero  nace  la  Wikipedia.  Un  instrumento  que  marcaria  el  inicio  de  la  Internet  colaborativa. 
El  20  de  mayo  se  inauguraria  su  version  en  espanol. 

_  La  una-al-dia  del  21  de  enero,  “Un  gusano  muy  activo  afecta  a  sistemas  Linux  de  todo  el  mundo”  es  la 
primera  noticia  firmada  criptograficamente.  Con  esto  se  validaria  a  partir  de  entonces  la  integridad 
y  procedencia  de  la  informacion. 

_  Javier  Bardem  se  convierte  en  el  primer  actor  espanol  candidato  a  los  premios  Oscar  por  su 
interpretation  en  la  pelicula  de  Julian  Schnabel  “Antes  que  anochezca”.  Lo  ganaria  finalmente  en  2008 
por  su  papel  en  “No  es  pais  para  viejos”  de  los  hermanos  Cohen. 

_  El  agente  del  FBI  Robert  Hanssen  es  arrestado  por  cargos  de  agente  doble  que  habia  proporcionado 
informacion  para  Rusia  durante  veinte  anos.  Hanssen,  que  era  agente  del  FBI  desde  1976,  fue  arrestado  en 
febrero  de  2001  acusado  de  vender  secretos  a  la  inteligencia  rusa  por  valor  de  1.4  milllones  de  dolares  y  por 
diamantes.  Habia  sido  doble  agente  por  22  anos.  El  6  de  julio  seria  declarado  culpable  por  espionaje.  Se 
trata  del  caso  de  doble  agente  mas  escandaloso  de  todos  los  tiempos.  Sus  actividades  son  calificadas  como 
“el  mayor  desastre  de  la  inteligencia  americana  en  la  historia”.  Actualmente  cumple  cadena  perpetua  sin 
posibilidad  de  libertad  condicional  en  Colorado. 

_  A  Robert  Tools  se  le  instala  un  corazon  completamente  artificial  por  primera  vez  el  2  de  julio. 
El  artefacto  se  alimentaba  de  una  bateria  recargable  y  se  llamaba  AbioCor.  Tools  vivio  151  dias  con  el 
implante.  Posteriormente  se  harian  muchos  otros  trasplantes  con  exito,  alargando  sustancialmente  la  vida 
de  los  pacientes. 

_  El  20  de  julio  muere  Carlo  Giuliani  en  las  protestas  por  la  cumbre  del  G-8.  Giuliani  era  un 
activista  antiglobalizacion  italiano  que  fue  disparado  por  la  policia  italiana  en  Genova  durante  la  reunion 
del  G-8.  Su  muerte,  sobre  la  que  se  celebro  un  juicio  en  el  que  no  se  condeno  a  nadie,  lo  convertiria  en  un 
simbolo  de  la  lucha  antiglobalizacion  y  del  compromiso.  Seria  homenajeado  en  numerosos  actos  e  incluso 
canciones.  Los  violentos  incidentes  se  sucederian  con  mas  virulencia  en  posteriores  reuniones  de  este 
grupo  de  los  ocho  paises  mas  poderosos  del  mundo.  Los  protestantes  acusaban  de  injusto  el  hecho  de  que 
solo  ocho  paises  decidieran  por  todo  un  plantea  por  el  simple  hecho  de  ser  los  mas  poderosos. 

_  El  1  de  agosto  comienza  a  desaparecer  de  las  gasolineras  la  gasolina  Super,  la  unica  con  plomo. 


11  de  septiembre.  El  mayor  atentado  terrorista  de  la  historia.  Se  ataca  simultaneamente 
a  las  Torres  Gemelas  en  Nueva  York  y  a  El  Pentagono  en  Washington  DC.  Extremistas 
islamicos  secuestran  varios  aviones  comerciales  y  los  estrellan  durante  la  manana  contra 
unas  abarrotadas  torres,  donde  mueren  mas  de  3000  personas.  En  Espana  se  recibe  la 
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noticia  en  directo  durante  los  informativos 
de  la  tarde,  que  no  se  detiene  en  ninguna 
cadena  segun  avanza  la  informacion  hasta 
enlazar  con  los  de  la  noche.  Se  reciben 
primero  las  imagenes  de  una  de  las  torres 
ardiendo,  existe  mucha  confusion.  Minutos 
mas  tarde  se  asiste  en  directo  a  la  colision  del 
avion  comercial  con  la  segunda  torre.  Ambas 
se  vienen  abajo  durante  la  tarde,  entre  humo, 
llamas  e  impactantes  imagenes  de  sombras 
cayendo  desde  las  ventanas.  La  pagina  web 
de  la  CNN,  completamente  saturada  a  visitas  mientras  se  producen  los  atentados,  debe 
aligerar  la  web  de  todo  contenido  superfluo  para  que  cargue  mas  rapidamente  ante  la 
importante  demanda.  La  red  Al  Qaeda  y  su  Ifder  Osama  bin  Laden,  se  atribuirian  la  autorfa 
de  los  ataques.  La  seguridad  a  todos  los  niveles  se  convertiria  en  el  asunto  prioritario  para 
gobiernos,  instituciones  y  empresas  privadas.  El  mundo  parece  mucho  mas  vulnerable,  se 
desafta  el  poder  del  pais  mas  poderoso.  Nada  vuelve  a  ser  igual,  comienza  la  lucha  a  gran 
escala  contra  el  terrorismo  mundial. 

Poco  despues  de  los  ataques  a  las  Torres  Gemelas,  se  detectan  los  primeras  cartas  que 
contienen  antrhax,  dirigidas  a  las  redacciones  de  noticias  de  las  norteamericanas  ABC 
News,  CBS  News,  NBC  News,  el  New  York  Post  y  el  National  Enquirer.  Moririan  dos  personas 
y  otras  17  se  infectarian. 


_  En  septiembre,  Google  obtiene  la  patente  de  su  PageRank,  el  algoritmo  de  busqueda  de  su  motor,  el 
corazon  de  su  exito.  En  febrero  habla  comprado  Deja  News  (archivo  de  grupos  Usenet),  comenzando  as! 
un  largo  historial  de  adquisiciones  empresariales. 

_  Se  difunde  en  spam  y  por  importantes  medios  de  comunicacion  el  bulo  de  Nostradamus.  Una  falsa 
profecla  atribuida  a  Nostradamus,  en  la  que  supuestamente  predice  el  ataque  a  Estados  Unidos  y  el 
comienzo  de  la  tercera  guerra  mundial.  Reputados  periodistas  se  hacen  eco  de  la  cita  sin  constatar  su 
veracidad,  aun  contando  con  un  error  garrafal.  Esta  datada  en  1654  y  Nostradamus  murio  en  1566.  Se 
difunden  varias  versiones.  Hace  referencia  a  una  supuesta  prediction  de  Nostradamus  en  1654  donde  se 
anuncia  que  la  tercera  guerra  mundial  comenzara  con  la  caida  de  “dos  hermanos”,  imagen  que  recuerda  a 
la  destruction  de  las  torres  gemelas  del  World  Trade  Center.  Otras  versiones  del  hoax  van  aun  mas  lejos, 
incluyendo  referencias  a  los  “pajaros  de  hierro”  o  indicando  el  dia  y  mes  del  suceso.  Otro  bulo  muy  popular 
corresponde  al  numero  de  vuelo  de  los  aviones  implicados  en  el  ataque.  Se  difunde  por  email  que  uno 
de  sus  codigos  de  vuelo  es  Q33NY,  que  codificado  con  el  tipo  de  letra  Wingdings  resulta  en  T-BI& A. 
Muchos,  tras  comprobar  que  es  cierto,  lo  toman  como  una  profecia,  cuando  en  realidad  el  numero  no 
corresponde  a  ningun  avion  estrellado. 

_  Nintendo  lanza  GameCube.  La  consola  mas  pequena  (y barata)  del  momento. 

Cuesta  unos  200  dolares.  Su  CPU  corre  a  485  Mhz  y  cuenta  con  24  megas  de 
RAM. 

_  El  7  de  octubre  empieza  la  invasion  de  Afganistan  por  parte  de  Estados 
Unidos  y  sus  aliados. 
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_  En  octubre  aparecen  casi  simultanemante  el  primer  iPod  y  Windows  XP.  El  primer  iPod  (que  luego 
pasaria  a  llamarse  iPod  Classic)  venia  con  la  rueda  mecanica,  no  con  la  tactil  que  le  haria  popular  dos 
anos  despues.  Su  capacidad  es  de  5.10  gigas  y  aguanta  solo  10  horas  de  audio.  El  primero  con  la  pantalla  en 
color  se  fabricaria  en  2004.  En  2007,  la  version  mas  avanzada  de  iPod,  el  iPod  Touch,  seria  completamente 
tactil,  y  su  bateria  soportaria  22  horas  de  audio  y  hasta  32  gigabytes  de  capacidad.  Supuso  una  revolution 
en  el  mercado  de  los  dispositivos  de  audio  portables,  y  ha  resultado  uno  de  los  productos  de  mas  exito 
para  Apple. 


Sg 

Windows^ 


Microsoft 


Nace  Windows  XP,  el  que  seria  el  sistema  operative  mas  exitoso 
de  Microsoft  hasta  la  fecha.  Es  heredero  directo  de  la  filosofia  NT  y 
Windows  2000,  arrastrando  por  fin  para  el  entorno  domestico  una 
buenpartedesusmejorasconrespectoalaseguridad.Trivialidades 
como  el  fondo  de  pantalla,  el  aspecto  casi  infantil,  la  necesidad 
de  “activar”  el  producto  (una  apuesta  por  la  eliminacion  de  la 
pirateria)  incomoda  a  sus  detractores.  XP  supone  una  ruptura  con 
la  filosofia  anterior  de  los  Windows  9x  y  Me,  en  los  que  no  existia  posibilidad  de  asegurar  el 
sistema.  XP  es  multiusuario,  soporta  NTFS,  cifrado  de  datos,  los  servicios  se  ejecutan  bajo 
cuentas  mas  limitadas,  las  contrasenas  nulas  no  permiten  a  usuarios  externos  entrar  por 
la  red,  mejoras  en  la  gestion  de  versiones  de  librerias,  se  introduce  Authenticode...  sin 
embargo  son  pocos  los  que  aprovechan  estas  ventajas  y  utilizan  el  sistema  en  permanente 
modo  administrador,  heredando  los  problemas  de  seguridad  de  sus  predecesores.  XP 
mejoraria  de  forma  sustancial  con  el  Service  Pack  2  en  2004,  tanto  en  seguridad  como 
estabilidad.  Paradojicamente  y  a  pesar  de  su  rechazo  inicial,  se  convertiria  en  el  principal 
problema  para  la  propia  Microsoft  cuando  intentara  introducir  en  2007  su  nuevo  sistema 
operativo  Windows  Vista.  XP  se  mantiene  en  el  mercado  6  anos,  mucho  mas  de  lo  que 
en  un  principio  se  esperaba  (Vista  debia  estar  listo  para  2004-2005)  y  los  usuarios  (y  el 
malware)  se  resistirian  a  abandonarlo. 


_  Se  producen  los  cacerolazos  argentinos.  Forman  parte  de  un  estallido  popular  que  causa,  entre 
otros  efectos,  la  renuncia  del  presidente  Fernando  de  la  Rua,  ante  una  agudisima  recesion  economica. 
Argentiza  alcanza  entre  2001  y  2002  cifras  record  de  pobreza  (53%)  y  de  paro  (20%).  Se  producen  saqueos 
a  tiendas  y  supermercados  y  se  declara  el  estado  de  sitio  en  todo  el  pais.  Renuncia  el  ministro  de  economia 
de  Argentina  Domingo  Cavallo,  el  presidente  y  las  revueltas  se  saldan  con  alrededor  de  20  manifestantes 
muertos. 

_  India  se  convierte  en  la  segunda  nation  en  rebasar  los  mil  millones  de  habitantes.  La  primera  fue 
China  en  1979. 
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_  En  enero  se  descubre  Ramen,  un  gusano  para  Linux  bastante  activo.  Afecta  a  sistemas 
RedHat  6.2  y  RedHat  7.0  aprovechandose  de  vulnerabilidades  conocidas  (y  con  parches) 
en  los  servicios  rpc,  wuftp  0  LPRng.  En  abril  se  detectaria  tambien  un  nuevo  gusano, 
llamado  Adore,  que  aprovechandose  de  las  vulnerabilidades  de  seguridad  de  los  sistemas  operativos  de 
software  libre  infectaria  a  sistemas  Linux. 
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_  Hotmail  presenta  graves  deficiencias  en  la  detection  de  virus.  McAfee,  el  motor  antivirus  con  que 
cuenta  el  sistema  de  webmail  de  Microsoft,  llevaba  6  meses  sin  actualizar  sus  firmas.  Cientos  de  muestras 
de  malware  quedan  potencialmente  indetectadas.  McAfee  culpa  a  Microsoft  de  no  mostrar  interes  en 
la  actualization.  La  relation  entre  el  antivirus  y  Hotmail  se  va  degradando  hasta  que  a  finales  de  2004, 
Microsoft  optaria  por  usar  Trend  Micro  en  Hotmail,  y  prescindir  de  McAfee. 

_  En  febrero  de  2001,  Hispasec  inaugura  su  nuevo  servicio  de  deteccion  de  virus  on-line 

gracias  a  un  acuerdo  con  la  firma  antivirus  Trend  Micro.  Este  nuevo  servicio  gratuito  permite  realizar  el 
analisis,  la  deteccion  y  la  desinfeccion  de  los  virus  directamente  desde  una  pagina  web.  Se  accede  a  traves 
de  la  direction  http://www.hispasec.com/housecall.  Se  visualizara  una  ventana  con  el  arbol  de  directories 
de  las  unidades  del  sistema  del  usuario,  momento  en  que  se  pueden  seleccionar  las  unidades  o  directories 
que  se  desean  analizar. 

_  El  famoso  gusano  Anna  Kournikova  se  propaga  por  correo  en  los  Windows 
de  todo  el  mundo.  Camuflado  como  una  foto  de  la  conocida  tenista  Anna 
Kournikova,  promete  ensenarla  desnuda.  Miles  de  usuarios  no  dudan  en  ejecutar 
el  archivoy  quedan  asi  infectados.  Tiene  varios  alias,  I-Worm/Lee.O  o  KALAMAR. 

Se  vale  de  Outlook  y  Outlook  Express  para  reproducirse.  El  mensaje  incluye  un 
archivo  adjunto,  con  el  nombre  “AnnaKournikova.jpg.vbs”,  que  dependiendo  de 
la  configuration  del  sistema  podra  aparecer  unicamente  como  una  imagen  jpg,  lo 
que  confunde  a  los  usuarios  para  que  abran  la  falsa  imagen.  Es  considerado  una 
mancha  en  el  expediente  de  deteccion  de  antivirus,  puesto  que  fue  “programado”  con  una  herramienta  de 
creation  vinca  conocida,  a  golpe  de  raton,  con  lo  que  su  deteccion  debia  resultar  teoricamente  sencilla,  y 
desde  luego,  a  tenor  de  los  niveles  de  infection  que  consiguio,  no  fue  asi. 


En  febrero  Phil  Zimmerman  abandona  NAi.  En  un  mensaje  dirigido  a  todos  los  usuarios  de 
PGP  el  mitico  Phil  Zimmerman  (creador  y  desarrollador  del  extendido  programa  de  cifrado 
PGP,  considerado  un  luchador  por  las  libertades  al  desafiar  las  leyes  de  exportacion  de 
material  cirptografico  de  Estados  Unidos)  anuncia  su  marcha  de  Network  Associates.  El 
mensaje  de  Zimmerman  comienza  recordando  la  compra  de  PGP  Inc.  por  NAi  a  finales  de 
1997.  Durante  esos  tres  anos  Phil  permanece  en  la  compania  para  proporcionarorientacion 
tecnica  para  el  desarrollo  de  PGP  y  asegurar  la  integridad  criptografica  del  producto.  Pero 
anuncia  que  la  vision  del  futuro  de  PGP  que  tiene  NAi  difiere  de  la  suya  por  lo  que  decide 
cambiar  a  otros  proyectos  mas  acordes  con  sus  objetivos  de  proteger  la  privacidad  de 
las  personas.  Hasta  la  version  6.5.8  la  seguridad  quedaba  garantizada  en  PGP  con  la 
publicacion  completa  del  codigo  fuente.  Pero  la  entrada  de  un  nuevo  administrador  en 
la  division  PGP  Security  a  finales  del  2000  cambiaria  el  rumbo  marcado  hasta  el  momento, 
con  su  decision  de  reducir  la  cantidad  de  codigo  publicado.  A  pesar  de  ello,  Phil  garantiza 
que  el  desarrollo  se  ha  mantenido  bajo  su  control  y  se  encuentra  libre  de  puertas  traseras. 
Zimmerman  anunciaria  su  paso  a  Hush  Communications,  desarrolladores  de  HushMail  para 
ayudarles  en  la  implementacion  del  estandar  OpenPGP  en  sus  desarrollos  futuros.  De  igual 
forma  tambien  colaborara  con  Veridis  para  la  creacion  de  nuevos  productos  OpenPGP, 
incluido  software  para  autoridades  certificadoras. 


_  Aparece  Winux,  primer  virus  para  ejecutables  de  Windows  y  Linux.  Aunque  no  se  detectarian  casos 
de  infecciones  significativas.  Se  trata  de  una  prueba  de  concepto.  Tambien  conocido  como  Lindose,  es 
un  virus  escrito  en  ensamblador  que  infecta  ejecutables  Windows  (PE)  y  Linux  (ELF)  por  action  directa 
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(no  queda  residente  en  memoria).  Su  unica  action  consiste  en  buscar  ficheros  con  estos  formatos  en  el 
directorio  actual  y  superiores  en  el  caso  de  Windows,  para  proceder  a  su  infection.  No  posee  ningun  tipo 
de  efecto  destructive.  En  el  interior  del  virus  se  puede  encontrar  una  cadena  con  el  apodo  del  autor,  Benny, 
y  con  referencias  a  29A,  el  famoso  grupo  de  creadores  de  virus  conocido  por  sus  innovaciones  en  la  escena 
virica. 

_  VeriSign,  la  empresa  lider  en  emision  de  certificados  para  Internet, 
protagoniza  en  marzo  uno  de  los  fiascos  mas  importantes  de  su  historia 
que  compromete  de  lleno  la  seguridad  de  los  usuarios  de  Windows.  Emiten 
dos  certificados  a  un  impostor  que  se  hizo  pasar  por  trabajador  de  Microsoft. 
Esto  permitiria  firmar  virus  y  cualquier  software  malicioso  como  si  fueran 
aplicaciones  originales  de  Microsoft.  A  efectos  practicos  y  en  lineas  generales,  el  trabajo  de  VeriSign 
(raiz  del  problema)  consiste  en  hacer  las  veces  de  notario  mediante  la  emision  de  certificados  digitales 
(autoridad  de  certification).  Las  empresas  que  quieren  certificar  la  autenticidad  de  sus  aplicaciones  ante 
los  usuarios  solicitan  a  VeriSign  un  certificado  con  el  que  firmar  digitalmente  su  codigo.  Ademas  de  exigir 
el  pago  correspondiente,  VeriSign  tiene  un  protocolo  para  verificar  la  identidad  del  solicitante,  es  decir,  la 
empresa  o  persona  con  los  privilegios  adecuados  a  nombre  de  la  que  se  emite  el  certificado.  El  protocolo 
falla  y  los  certificados  pasan  por  validos.  McAfee  y  Symantec  saltan  a  la  arena  para  anunciar  que  sus 
antivirus  cuentan  con  actualizaciones  para  detectar  los  certificados  fraudulentos,  como  si  de  un  virus  se 
tratara.  Los  certificados  serian  revocados  en  una  posterior  actualization  de  Microsoft.  Todavia  pueden  ser 
vistos  en  el  respositorios  de  certificados  revocados  de  muchos  Windows  XP. 

_  Se  publica  la  primera  metodologia  de  fibre  uso  para  la  verification  de  la  seguridad. 

OSSTMM  (Open  Source  Security  Testing  Methodology  Manual).  Se  trata  de 
un  manual  dirigido  a  la  comunidad  profesional  dedicada  a  la  seguridad  informatica,  que 
describe  el  conjunto  minimo  de  pruebas  que  deben  realizarse  en  un  test  de  intrusion, 

“hacking  etico”  y  analisis  de  la  seguridad  de  la  information.  El  objetivo  es  ofrecer  un 
marco  estandarizado  para  la  realization  de  las  valoraciones  de  seguridad. 

Para  el  desarrollo  del  manual  se  han  tenido  presente  diversas  normativas  legales  (entre  las  que  se  incluye 
la  ley  espanola  de  protection  de  datos),  de  forma  que  tambien  puede  ser  utilizada  en  la  evaluation  del 
cumplimiento  de  las  mismas.  Se  trata  de  un  proyecto  abierto,  distribuido  bajo  licencia  GNU.  Se  distribuye 
en  ingles  y  en  formato  HTML,  PDF  y  PS.  En  su  primera  epoca,  el  Open-Source  Security  Testing 
Methodology  Manual  se  aloja  en  el  mitico  dominio  http://www.ideahamster.org.  El  proyecto 
Ideahamster  publicaria  tambien  en  octubre  de  ese  mismo  ano  un  manual  con  una  metodologia  para  la 
programacion  segura  de  aplicaciones  para  Internet.  La  metodologia  para  la  programacion  segura  es  un 
suplemento  de  la  metodologia  de  seguridad  OSSTMM. 

_  Se  descubre  en  mayo  W32/Hello,  primer  gusano  que  se  distribuye  por  MSN  Messenger  e  infecta  a 
maquinas  Windows. 

_  En  mayo,  y  tras  varios  meses  desde  su  descubrimiento,  Magistr  sigue  activo  y  el  numero  de  infecciones 
sigue  aumentando.  El  polimorfismo  de  este  virus  hace  mella  en  algunas  soluciones  antivirus.  La  ingenieria 
social  utilizada  por  el  autor  del  especimen  y  el  descuido  de  los  usuarios  hace  el  resto.  Magistr  contiene 
rutinas  para  borrar  los  discos  duros,  la  CMOS  y  la  Flash  BIOS.  Tendria  mas  versiones. 


Aunque  Neva  muchos  meses  circulando,  el  bulo  del  archivo  Sulfnbk.exe  se  vuelve 
tremendamente  popular.  El  archivo  esta  presente  en  todos  los  Windows  98  y  Me  del 
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S  ulfnbk.  ewe  jdbgmgr .  exe 


momento,  y  corresponde  a  una  aplicacion  legitima 
del  sistema.  A  traves  del  correo  los  propios  usuarios 
yj  reenvfan  constantemente  una  alerta  que  indica  que 

quien  posea  ese  archivo  en  su  sistema,  esta  infectado 
por  un  virus.  Los  usuarios  reciben  un  mensaje  donde 
se  advierte  de  un  supuesto  nuevo  virus  y  facilita 
ademds  unos  sencillos  pasos  para  poder  comprobar  si  estamos  infectados.  El  metodo 
consiste  en  buscar  el  fichero  sulfnbk.exe  en  el  sistema,  y  eliminarlo  en  caso  de  encontrarlo 
pues  supondria  una  infeccion.  No  son  pocos  los  que  reaccionaban  con  panico  ante  la 
supuesta  evidencia  de  un  virus  en  su  sistema.  Algunos  formateaban  completamente  el 
disco  duro.  Logicamente,  al  comprobar  que  estan  infectados  y  que  las  intrucciones  son 
precisas,  alertan  a  sus  amigos  por  email  y  la  cadena  se  realimenta.  Afortunadamente,  el 
impacto  es  minimo.  Se  trata  de  una  utilidad  de  Windows  que  permite  salvar  y  restaurar  los 
nombres  largos  de  los  ficheros  si  han  sido  reemplazados  por  el  formato  corto  compatible 
con  MS-DOS.  Poco  despues  el  bulo  se  repetiria  con  el  archivo  jdbgmgr.exe,  cuyo  icono 
correspondia  a  un  osito  de  peluche.  Se  baraja  la  posibilidad  de  que  el  origen  del  bulo  no 
sea  intencionado,  algunas  hipotesis  apuntan  a  que  alguien  recibio  un  mensaje  donde  se 
adjuntaba  el  fichero  sulfnbk.exe  infectado  con  el  gusano  Magistr.  El  antivirus  del  usuario 
pudo  alertarlo,  e  interpreto  que  existia  un  gusano  que  se  distribuia  con  este  nombre  de 
fichero,  de  ahi  que  comenzara  a  alertar  a  sus  contactos  mas  proximos. 


_  El  gusano  sadmind/IIS,  que  aprovecha  vulnerabilidades  ya  conocidas  y  parcheadas  para  reproducirse 
y  modificar  paginas  web,  afecta  a  versiones  sin  actualizar  de  Microsoft  IIS  y  de  Solaris  hasta  Solaris  7 
(incluida).  Este  gusano  explota  una  vulnerabilidad  en  los  sistemas  Solaris  para  posteriormente  instalar  un 
software  capaz  de  atacar  servidores  web  con  Microsoft  Internet  Information  Server. 

_  En  verano  Microsoft  anuncia  que  no  publicara  el  Service  Pack  7  para  el  sistema  operativo  Windows 
NT. 

_  Hispasec  Sistemas  y  el  Instituto  para  la  Seguridad  en  Internet  (ISI)  comienzan  a  organizar 
cursos  presenciales,  eminentemente  practicos,  dirigidos  a  todos  aquellos  administradores  de  sistemas  y 
desarrolladores  de  entornos  Microsoft. 

_  La  Agencia  de  Seguridad  Nacional  de  los  Estados  Unidos  pone  a  disposition  de  los  usuarios 
de  Windows  2000  una  serie  de  directrices  con  el  fin  de  facilitar  una  mejor  administration  del  sistema 
operativo  de  Microsoft.  La  documentation  liberada  consta  de  5  plantillas  para  usar  con  el  editor  de 
configuration  de  seguridad,  mas  otras  17  plantillas  que  cubren  diversos  aspectos  sobre  la  seguridad  en 
sistemas  operativos  y  tres  documentos  que  tratan  fundamentalmente  sobre  seguridad  en  paquetes  de 
software  populares  relacionados  con  Windows  2000. 

_  En  junio  Hispasec  proporciona  un  test  mediante  el  que  los  usuarios  podran  simular  la  llegada 
de  un  virus  a  su  sistema  a  traves  del  correo  electronico.  De  esta  manera,  se  podra  comprobar  la  reaccion 
del  programa  antivirus  instalado  en  el  ordenador.  El  test  consiste  en  enviar  un  mensaje  con  el  archivo 
EICAR  como  documento  adjunto  a  la  direction  de  correo  electronico  del  usuario  y  comprobar  la  reaccion 
del  antivirus  a  su  llegada. 

_  Aunque  todavia  no  son  muy  usadas,  en  julio  IBM  presenta  una  herramienta  de  seguridad  para  redes 
inalambricas.  Se  trata  de  la  primera  herramienta  existente  para  la  realization  de  auditorias  y  recopilacion 
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de  information  relacionada  con  la  seguridad,  de  forma  automatica,  en  las  redes  inalambricas  802.11. 
Wireless  Security  Auditor  es  el  prototipo  de  una  aplicacion  que  funciona  en  Linux  y  permite  a  los 
administradores  de  red  la  localization  de  la  existencia  de  puntos  de  acceso  vulnerables  y  evitar  que 
supongan  una  amenaza  para  la  seguridad.  En  esos  momentos  solo  se  disponen  de  dos  mecanismos  de 
seguridad  existentes  para  las  redes  inalambricas  802.11:  una  tecnica  de  cifrado  denominada  Wired 
Equivalent  Privacy  (WEP)  y  un  algoritmo  de  autenticacion  denominado  Shared  Key  Authentication.  Tanto 
WEP  como  Shared  Key  son  opcionales  y  habitualmente  los  puntos  de  conexion  de  las  redes  inalambricas 
son  distribuidos  con  ambas  funciones  desactivadas.  Poco  despues  se  demostraria  que  el  WEP  era  un 
cifrado  debil  e  inutil. 

_  En  verano  aparece  SirCam  un  gusano  de  propagation  masiva.  Viaja  adjunto  en  un  e-mail  con  las 
cadenas  “Hola  como  estas  ?”  y  “Nos  vemos  pronto,  gracias”  como  primera  y  ultima  linea  del  cuerpo  del 
mensaje.  Este  gusano  consigue  una  especial  relevancia  en  paises  de  habla  hispana,  sin  duda  gracias  a  la 
utilization  de  frases  en  espanol,  ademas  del  ingles,  para  formar  los  mensajes  en  los  que  se  adjunta. 

_  Es  un  verano  negro  en  cuestion  de  virus  de  propagation 
masiva.  Aparece  tambien  Code  Red.  Ataca  a  los  servidores  IIS  no 
actualizados.  En  los  tres  primeros  dias  despues  de  su  descubrimiento, 
ya  se  contabilizan  mas  de  cinco  mil  servidores  infectados.  Para  atacar 
los  servidores  utiliza  el  desbordamiento  de  bufer  existente  en  el  filtro 
ISAPI  de  Microsoft  Indexing  Service.  Esta  vulnerabilidad  permite  a  un 
atacante  remoto  ejecutar  codigo  arbitrario  en  el  servidor  con  privilegios 
de  SYSTEM,  lo  que  le  facilita  un  control  absoluto  de  la  maquina.  Las 
paginas  web  en  los  servidores  infectados  son  reemplazadas  por  un 
reconocible  texto  que  perduraria  en  muchos  servidores  durante  anos. 

_  En  agosto  apareceria  el  gusano  “Code  Red  II”.  El  parecido  con  la  version  original  es  el  mecanismo  de 
propagation.  Una  de  las  caracteristicas  de  esta  nueva  mutation  es  el  abrir  diversas  puertas  traseras  en  la 
maquina  infectada. 

_  En  agosto  Hispasec  descubre  OUTLOOK.PDFWorm,  el  primer  gusano  que  se  presenta  en  un  archivo 
PDF  (Portable  Document  Format).  No  es  la  unica  novedad:  este  especimen  se  distribuye  utilizando 
funciones  de  Outlook  nunca  vistas  antes  en  un  gusano.  Aunque  es  un  virus  de  laboratorio  que  apenas  ve  la 
luz,  se  trata  de  una  importante  semilla  que  puede  hacer  proliferar  este  tipo  de  virus  insertados  en  archivos 
PDF,  un  formato  hasta  ahora  considerado  seguro  por  los  usuarios. 

_  Microsoft  presenta  HFNETCHK  una  utilidad  para  los  administradores  de  Windows  que  permite 
determinar  la  presencia  0  ausencia  de  las  diferentes  actualizaciones  de  seguridad  en  uno  o  varios 
ordenadores.  Seria  el  germen  de  lo  que  posteriormente  se  conoceria  como  Microsoft  Baseline  Security 
Analyzer. 

_  En  septiembre,  la  comision  de  la  Union  Europea  encargada  de  determinar  la  existencia  real  de  Echelon, 
entrega  su  informe  que  indica  la  existencia  de  la  red  de  espionaje.  Tras  las  denuncias  de  importantes 
companias  europeas,  testimonies  de  ex-operarios  de  la  red  y  rumores  mas  que  fundados,  el  parlamento 
europeo  decidio  fundar  en  2000  una  comision  para  determinar  la  existencia  o  no  de  Echelon,  asi  como 
la  participation  del  Reino  Unido  en  ella.  El  informe  realiza  reveladoras  aseveraciones:  Echelon  existe 
y  la  privacidad  es  un  derecho  fundamental.  Tambien  recomienda  el  uso  de  comunicaciones  cifradas,  a 
todos  los  niveles.  Se  llega  incluso  a  afirmar  la  conveniencia  de  desarrollar  campanas  de  concienciacion 
institucionales. 
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_  En  septiembre,  nimda  campa  a  sus  anchas  por  los  sistemas  Windows.  Llega  adjunto  en  un  mensaje 
con  el  nombre  de  archivo  “readme.exe”,  o  intenta  descargarse  al  visitar  la  pagina  web  de  un  servidor 
infectado.  Su  enorme  capacidad  de  propagation  se  debe  a  que  infecta  y  se  difunde  aprovechando  tanto 
las  infecciones  entre  clientes  (modulo  readme.exe)  como  a  traves  de  servidores  Web  basados  en  Internet 
Information  Server  (modulo  Admin.dll).  Entre  otras  caracteristicas  tambien  destaca  la  comparticion  de 
la  unidad  C:  en  los  sistemas  infectados.  A  grandes  rasgos,  nimda  suma  caracteristicas  de  SirCam  y  Code 
Red. 

_  Virus  de  poca  monta  como  WTC.EXE,  alias  “Vote”,  nunca  habrian  saltado  desde  algunas  casas 
antivirus  a  los  medios  de  no  ser  por  las  referencias  al  World  Trade  Center.  Aunque  sus  efectos  daninos 
son  muy  anunciados,  no  se  esperan  infecciones  significativas.  “Vote”  se  covierte  en  objeto  de  discordia 
entre  las  propias  casas  antivirus.  Mientras  que  algunas  lo  situan  en  las  primeras  horas  como  “In  the  wild” 
(distribution  generalizada),  otras  lo  catalogan  como  un  “hype”  (exageracion). 

_  Microsoft  publica  un  polemico  llamamiento  a  la  comunidad  profesional  dedicada  a  la  seguridad  para 
que  no  se  divulguen  los  errores  detectados  en  sus  productos.  El  objetivo  de  la  compania  es 
“no  proporcionar  information  gratuita  a  los  hackers  para  explotar  las  debilidades  del  sistema”.  En  un 
comunicado  firmado  por  Scott  Culp,  responsable  del  Microsoft  Security  Response  Center  se  atribuye  a  la 
“anarquia  informativa”  existente  en  la  actualidad  el  exito  alcanzado  por  los  filtimos  gusanos:  Code  Red, 
Lion,  Sadmin  y  Nimda.  Microsoft  alega:  “Si  bien  la  industria  debe  esforzarse  en  producir  productos  mas 
seguros,  no  es  realista  esperar  que  seamos  capaces  nunca  de  alcanzar  la  perfection.  Todos  los  programas 
no  triviales  contienen  bugs  y  los  sistemas  operativos  modernos  son  cualquier  cosa  excepto  triviales.  De 
hecho,  se  pueden  incluir  entre  las  cosas  mas  complejas  que  nunca  haya  realizado  la  humanidad.  Las 
vulnerabilidades  de  seguridad  estan  aqui  para  quedarse”. 

_  Sony  solicita  a  un  programador  experto  que  retire  de  Internet  sus  programas 
gratuitos  para  modificar  los  comportamientos  y  anadir  nuevas  funcionalidades 
al  perro-robot  Aibo.  La  decision  de  Sony  provoca  protestas  en  la  comunidad  de 
seguidores  de  Aibo  que  comienzan  a  retirar  sus  paginas  webs  dedicadas  a  esta 
cibermascota,  ademas  de  recomendar  a  los  usuarios  que  dejen  de  comprarlo. 

_  Las  actualizaciones  de  seguridad  especificas  para  los  sistemas  operativos  de  Microsoft  en  espanol  ya  no 
tienen  que  esperar  tanto.  A  final  de  ano  parece  que  Microsoft  presenta  mejoria  en  este  aspecto.  El  Service 
Pack  2  para  Internet  Explorer  5.5  version  en  espanol  tiene  un  retraso  de  solo  10  dias  respecto  a 
la  version  de  Estados  Unidos,  mientras  que  el  Service  Pack  1  para  SQL  Server  2000  apenas  los  separan  3 
dias,  todo  un  record  en  comparacion  con  las  semanas,  incluso  meses,  de  tiempos  atras. 

_  En  noviembre  Hipasec  lanza  SANA.  El  Servicio  de  Analisis,  Notification  y  Alertas 
1 1 1  '8*  (SANA)  es  un  completo  sistema  de  information  en  tiempo  real  destinado  a  cubrir  las 
aNA  necesidades  de  empresas  y  profesionales  en  materia  de  seguridad  informatica.  SANA 
■  hace  llegar  la  information  mas  reciente  que  pueda  afectar  o  ser  de  interes  para  el  usuario, 

segun  el  perfil  que  haya  conhgurado.  Utiliza  distintos  formatos  de  notification,  a  traves 
A  del  correo  electronico  y  mediante  mensajes  SMS  a  telefonos  moviles,  un  servicio  de  alertas 

iW  que  trabaja  24  horas  al  dia,  365  dias  al  ano  y  que  sigue  vigente. 

_  En  noviembre  aparece  BadTrans,  que  tambien  tendria  varias  versiones.  Se  distribuye 
por  correo  electronico  y  es  capaz  de  ejecutarse  de  forma  automatica  en  Outlook  y  Outlook  Express  con 
tan  solo  visualizar  un  mensaje  infectado.  “BadTrans. B”  explota  una  vulnerabilidad  conocida  de  Internet 
Explorer  que  permite  la  ejecucion  automatica  de  un  binario  adjunto  en  un  mensaje  de  correo  (.EML).  Para 
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lograrlo  modifica  la  cabecera  MIME  que  hace  referenda  al  archivo  de  forma  que  Simula  ser  un  formato 
confiable.  Esto  provoca  que  Internet  Explorer  lo  abra  sin  preguntar  al  usuario. 

_  Nace  Passport  .NET  (que  posteriormente  seria  Live),  un  servicio  en  linea  que  hace  posible  que  pueda 
utilizar  una  direction  de  correo  electronico  y  una  unica  contrasena  para  iniciar  una  sesion  de  forma  segura 
en  cualquier  servicio  o  sitio  web  participante  de  Passport. 

_  En  diciembre  Hispasec  desarrolla  una  solucion  para  los  timos  basados  en  numeros  de  tarificacion 
adicional  906.  En  el  contexto  de  la  Campana  Nacional  de  Seguridad  en  la  Red,  inciada  por  la  Asociacion 
de  Internautas,  Hispasec  presenta  el  desarrollo  de  CheckDialer,  una  solucion  contra  el  llamado  “fraude 
906”.  Cada  dia  aumentan  los  sitios  webs  que  anuncian  el  acceso  a  contenidos  pornograficos  de  forma 
gratuita,  sin  necesidad  de  realizar  pagos  con  tarjeta  de  credito.  Muchas  de  estas  ofertas  solo  piden  al 
usuario  que  descargue  e  instale  un  programa  gratuito  que  le  permitira  disfrutar  de  los  contenidos.  La 
mayoria  de  los  usuarios,  bien  arrastrados  por  publicidad  enganosa,  bien  por  no  leer  la  letra  pequena  que 
se  esconde  en  estos  programas,  desconocen  que  en  realidad  estan  utilizando  marcadores  o  “dialers”  que 
conectan  a  traves  de  numeros  906  de  tarificacion  especial  en  Espafia,  en  el  mejor  de  los  casos  a  too 
pesetas  (o,  60  euros)  el  minuto.  CheckDialer,  es  un  programa  para  sistemas  Windows  que  monitoriza  las 
conexiones  que  se  realizan  a  traves  de  un  modem  (o  RDSI).  Su  exito  perduraria  hasta  nuestros  dias,  en 
paises  en  los  que  aun  es  habitual  la  conexion  por  modem. 

_  El  servicio  UPNP  (Universal  Plug  and  Play)  sufre  de  una  grave  vulnerabilidad  en  Windows  XP 
que  permite  la  ejecucion  remota  de  codigo.  Aunque  no  seria  aprovechada  de  forma  masiva,  un  error  muy 
parecido  sentaria  las  bases  para  la  nefasta  propagacion  de  Blaster  y  Sasser  dos  anos  despues.  El  servicio 
UPNP  (Universal  Plug  and  Play)  es  una  ampliation  del  ya  conocido  Plug  and  Play.  Mientras  que  este  ultimo 
permite  que  Windows  reconozca  los  dispositivos  que  estan  instalados  directamente  a  nuestro  ordenador, 
UPNP  amplia  esta  funcionalidad  a  las  redes  TCP/IP. 


Una  al  dia 


13/02/2001  AnnaKournikova:  tfracaso  de  la  comunidad  antivirus? 

El  ultimo  virus  de  gran  propagacion,  alias  “AnnaKournikova”,  pone  en  entredicho  la  utilidad  de  muchas 
de  las  soluciones  antivirus  existentes  en  el  mercado.  El  virus  es  el  resultado  de  usar  un  kit  de  creation 
automatica,  que  permite  disenar  gusanos  sin  necesidad  de  saber  programar  y  que  se  conoce  desde  agosto 
de  2000.  Para  colmo  se  ha  contado  con  la  “colaboracion  ciudadana”,  ya  que  son  muchos  los  usuarios  que 
se  han  dejado  enganar  por  practicamente  un  “remake”  del  archiconocido  “ILOVEYOU”.  A  bote  pronto  se 
pueden  sacar  algunas  conclusiones  de  este  ultimo  brote  virico  de  escala  mundial: 

*  La  tan  anunciada  detection  heuristica  en  las  soluciones  antivirus  parece  que  queda  en  la  mayoria  de  los 
casos  en  simple  publicidad,  a  juzgar  por  la  propagacion  que  ha  conseguido  alcanzar  este  gusano. 

“AnnaKournikova”  esta  creado  con  “Vbs  Worms  Generator”,  un  kit  de  creation  automatica  desarrollado  por 
un  argentino  apodado  [K]Alamar,  que  permite  disenar  gusanos  a  golpe  de  raton  con  tan  solo  seleccionar 
ciertas  caracteristicas  en  un  menu  de  configuration. 

Segun  las  ultimas  noticias,  fue  un  joven  holandes  quien  genero  el  “AnnaKournikova”  aprovechando  esta 
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utilidad.  El  autor  es  lo  de  menos,  lo  peor  es  que  provocar  un  caos  mundial  esta  al  alcance  de  cualquiera 
que  sepa  manejar  Windows.  En  estos  momentos  tenemos  que  “agradecer”  que  el  joven  no  pulsara  en  la 
option  de  payload  (efecto)  danino,  ya  que  a  juzgar  por  la  propagacion  alcanzada  hubiera  causado  perdidas 
multimillonarias  entre  empresas  y  usuarios. 

Esta  utilidad  esta  disponible  en  Internet  desde  agosto  del  ano  pasado  y,  como  es  normal,  todos  los  gusanos 
generados  tienen  mucho  codigo  en  comun,  lo  que  hace  trivial  que  se  pueda  detectar  cualquier  version 
que  produzca.  En  el  caso  concreto  de  “AnnaKournikova”,  el  algoritmo  de  descrifrado  que  puede  verse  a 
simple  vista  es  exactamente  el  mismo,  linea  por  linea,  que  el  de  gusanos  reconocidos  hace  meses,  con  la 
unica  diferencia  en  el  nombre  de  las  variables.  No  se  entiende  pues  que  este  gusano  haya  podido  infectar 
sistemas  que  contaran  con  un  antivirus,  a  no  ser  que  la  ma  simple  de  las  heuristicas  brille  por  su  ausencia 
en  dichas  soluciones. 

A  continuation,  se  presentan  los  resultados  de  un  test  llevado  a  cabo  por  Hispasec  en  relation  a  la  eficacia 
de  los  motores  antivirus  en  el  caso  del  gusano  “AnnaKournikova”,  segun  poder  de  deteccion/heuristica 
antes  de  que  este  saliera  a  la  luz.  En  el  grupo  de  los  aprobados  se  encuentran  los  antivirus  que  detectaron 
el  virus  desde  el  primer  momento  sin  necesidad  de  una  actualization  adicional. 

Aprobados:  AVP/Karspersky,  F-Secure,  McAfee,  TrendMicro 

Suspensos:  Norman,  Norton,  Panda,  Sophos  *  La  ingenieria  social  sigue  siendo  la  mejor  arma  de  los  virus 
contra  los  usuarios. 

No  ha  hecho  falta  crear  ninguna  nueva  tecnica  de  infection,  aprovechar  agujeros  de  seguridad,  ni  desarrollar 
complicadas  rutinas.  Si  con  “ILOVEYOU”  no  se  pudo  resistir  la  tentacion  de  leer  una  declaration  de 
amor,  en  esta  ocasion  ha  bastado  con  el  simple  reclamo  de  ver  una  foto  de  la  joven  tenista  Kournikova. 
Los  encantos  de  Anna  hicieron  olvidar  a  miles  de  usuarios  la  regia  basica:  no  abrir  archivos  adjuntos  no 
solicitados. 

*  El  actual  esquema  de  detection  de  virus  que  implementan  la  inmensa  mayoria  de  las  soluciones  antivirus 
no  es  efectivo  ante  virus  nuevos  que  aprovechan  Internet  como  canal  de  propagacion. 

Primero  es  necesario  que  el  virus  nuevo  infecte  a  algunos  usuarios,  que  estos  se  percaten  y  envien  una 
muestra  al  laboratorio  antivirus.  Alii  analizan  el  especimen  y  desarrollan  una  vacuna  que  ponen  a 
disposition  del  resto  de  sus  usuarios  registrados  a  traves  del  proceso  de  actualization. 

Siempre  existen  unos  usuarios  perjudicados  que  reciben  el  primer  azote  del  virus  (tengan  sus  antivirus 
actualizados  o  no),  y  el  resto  de  la  comunidad  se  encuentra  indefensa  mientras  que  se  desarrolla  la  vacuna 
especifica  y,  posteriormente,  actualizan  su  antivirus. 

Este  esquema  podia  ser  valido  hace  ahos,  cuando  los  virus  se  propagaban  con  el  intercambio  de  disquetes. 
Hoy  dia,  en  cuestion  de  horas  (las  que  se  tardan  en  el  mejor  de  los  casos  en  analizar  y  proporcionar 
una  vacuna  especifica),  un  gusano  puede  haber  causado  cientos  de  miles  de  infecciones  aprovechando  la 
infraestructura  de  Internet.  La  Red  ha  facilitado  las  actualizaciones  de  los  productos,  pero  aun  se  muestra 
mas  efectiva  como  canal  de  distribution  de  una  nueva  generation  de  virus.  Es  la  pescadilla  que  se  muerde 
la  cola. 

Sin  duda  es  un  esquema  productivo  para  las  casas  antivirus,  que  se  aseguran  el  mantenimiento  de  por 
vida  gracias  a  la  necesidad  de  actualizaciones  continuas,  y  util  para  el  usuario  si  no  tiene  la  desgracia 
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de  sufrir  la  infection  en  los  primeros  momentos.  En  cualquier  caso,  no  es  una  solution  optima  y  ya  hay 
movimientos  en  pro  de  esquemas  que  ataquen  el  problema  del  codigo  malicioso  de  raiz,  de  una  forma  mas 
global  y  generica. 


Bernardo  Quintero 


15/04/2001  Windows  XP,  tel  final  de  los  virus  informaticos? 

Este  articulo  forma  parte  de  los  contenidos  de  la  Comparativa  Antivirus  2001,  en  el  se  incluyen  los 
comentarios  de  Eugene  Kaspersky  y  Mikel  Urizarbarrena,  presidentes  de  AVP  y  Panda  Software 
respectivamente,  asi  como  de  “Zulu”,  el  creador  de  virus-scripts  mas  destacado  de  los  ultimos  tiempos. 
Junto  a  ellos  analizamos  las  nuevas  caracteristicas  de  seguridad  que  Windows  XP  puede  incorporar  en  un 
intento  de  frenar  la  actividad  de  los  virus  informaticos. 

A  finales  de  noviembre,  un  portavoz  de  Microsoft,  Jim  Ewel,  dejaba  entrever  en  una  conferencia  en  Londres 
algunas  de  las  nuevas  caracteristicas  que  Windows  XP,  por  aquel  entonces  conocido  como  Whistler, 
incorporaria  en  materia  de  seguridad.  El  anuncio  de  que  Whistler  podria  bloquear  cualquier  aplicacion 
que  no  contara  con  un  certificado  digital  suscito  tanto  interes  como  polemica. 

En  respuesta  a  los  problemas  de  los  virus  que  utilizan  el  correo  electronico,  Microsoft  planeaba  extender 
la  nueva  caracteristica  a  “cada  portion  de  codigo  que  pueda  ejecutarse  en  la  maquina””,  comento  Ewel.  A 
la  espera  de  que  Microsoft  arroje  mas  luz  sobre  esta  funcionalidad,  este  anuncio  ha  suscitado  de  nuevo  un 
debate  sobre  la  posibilidad  de  crear  un  entorno  seguro  contra  virus  informaticos. 

Para  comprender  mejor  en  que  consistiria  esta  caracteristica,  basta  con  conocer  el  modelo  de  seguridad  en 
el  que  se  basan  los  controles  ActiveX.  Estos  componentes  en  su  aplicacion  en  Internet  son  muy  similares 
en  aspecto  a  los  applets  de  Java,  ya  que  pueden  formar  parte  de  cualquier  pagina  web,  con  el  peligro 
potencial  que  eso  podria  acarrear. 

Microsoft,  a  diferencia  de  Sun  cuando  desarrollo  Java,  no  limito  en  ningun  momento  la  capacidad  de  estos 
controles.  Un  ActiveX  puede  llevar  a  cabo  cualquier  tipo  de  action  en  el  sistema,  si  bien  siempre  debe 
estar  convenientemente  identificado  con  un  certificado  digital  que  proporcione  information  sobre  quien 
lo  ha  desarrollado.  Si  el  desarrollador  es  fiable,  el  sistema  lo  ejecuta  directamente,  si  no  lo  es  0  carece  de 
certificado,  el  sistema  informa  al  usuario  que  es  el  quien  decide  en  ultima  instancia  si  desea  ejecutarlo  0 
no.  Un  sistema  sencillo  y  que  deja  finalmente  la  patata  caliente  al  usuario,  pero  que  se  muestra  efectivo 
apenas  se  aplique  algo  de  sentido  comun. 

El  anuncio  de  Microsoft  en  relation  a  Windows  XP  extenderia  esta  filosofia  a  todo  el  sistema  operativo. 
Es  decir,  podriamos  configurar  un  entorno  donde  solo  se  permitiera  la  ejecucion  de  las  aplicaciones  que 
vengan  firmadas  digitalmente  por  ciertos  desarrolladores  y  negar  el  permiso  a  cualquier  otro  codigo.  Esto, 
sin  duda,  representa  un  paso  hacia  una  solution  generica  al  problema  planteado  por  los  virus  informaticos 
y  al  malware  en  general. 

A  la  espera  de  conocer  mas  detalles  sobre  esta  nueva  caracteristica,  y  ver  finalmente  cual  es  la  implantation 
real  (y  fibre  de  fallos),  parece  claro  que  se  trata  de  una  funcionalidad  que  podria  tener  su  mayor  acogida 
en  entornos  corporativos.  Un  administrador  de  red  podria  controlar  con  exactitud  que  software  tiene 
permiso  de  ejecucion  en  su  compania,  por  ejemplo  aquellos  codigos  que  vengan  firmados  por  Microsoft  0 


80 


Una  al  dia.  Once  anos  de  seguridad  informatica  -  2001  - 


por  el  propio  certificado  de  su  empresa.  De  esta  forma,  el  administrador  firmarla  los  propios  desarrollos 
de  la  empresa  o  el  software  propietario  que  esta  reconocido  por  la  compania,  y  evitaria  la  ejecucion  de 
cualquier  otra  aplicacion,  incluido  virus,  programas  que  los  usuarios  se  intenten  bajar  de  Internet,  etc. 

Desde  el  punto  de  vista  del  usuario  la  cosa  cambia  bastante,  ya  que  es  un  consumidor  habitual  de 
shareware  y  freeware.  Es  bastante  improbable  que  los  desarrolladores  de  este  tipo  de  software  paguen 
el  registro  de  un  certificado  digital  para  despues  regalar  sus  aplicaciones.  La  experiencia  tambien  dicta 
que  el  usuario  tiende  a  desatender  las  pantallas  de  peligro  y  al  final  opta  por  inhabilitar  este  tipo  de 
sistemas  de  seguridad  para  ganar  en  comodidad.  En  cualquier  caso,  seria  un  buen  momento  para  que  los 
programadores  Windows  optasen  por  la  filosofia  de  codigo  abierto,  solution  optima  para  todos. 

Tanto  las  casas  antivirus  como  los  creadores  de  virus  ven  con  bastante  recelo  este  tipo  de  iniciativas,  sino 
juzgad  por  los  comentarios.  Tal  vez  sea  una  buena  serial. 

La  opinion  de  Mikel  Urizarbarrena,  presidente  de  Panda  Software: 

Sobre  el  papel,  este  sistema  puede  representar  un  avance  significativo  en  el  campo  de  la  seguridad.  Ninguna 
aplicacion  que  no  este  firmada  digitalmente  podra  ser  ejecutada  en  la  red,  ninguna.  En  la  practica,  esta 
por  ver  la  acogida  que  tendra  entre  los  administradores  y  los  usuarios. 

Es  posible  que  inicialmente  el  sistema  tenga  una  gran  aceptacion  entre  los  administradores  de  red,  pero 
creo  que  los  inconvenientes  que  presenta  acabaran  por  desaconsejarlo.  dque  ocurrira  cuando  estos  vean 
que  esa  utilidad  shareware  que  acaban  de  descubrir  y  que  soluciona  sus  problemas  no  puede  ejecutarse 
mientras  este  el  sistema  activado,  pues  no  ha  sido  certificada  por  Microsoft? 

£Que  sucedera  con  los  pequenos  fabricantes  de  software?,  tendran  que  adquirir  certificados  digitales  con 
el  coste  adicional  que  conlleva  o  se  les  obligara  a  ser  certificados  por  Microsoft.  Si  Microsoft  hubiese 
optado  en  sus  comienzos  por  un  sistema  como  este,  seguramente  sus  productos  no  hubiesen  alcanzado 
tanto  exito. 

Ademas,  un  sistema  de  este  tipo  animara  sin  duda  a  los  creadores  de  virus,  pues  si  consiguiesen  burlarlo 
introduciendo  en  una  red  este  tipo  un  virus  con  firma  digital,  por  la  propia  naturaleza  del  sistema,  el  virus 
correria  a  sus  anchas  por  todos  los  ordenadores  de  la  red.  Los  usuarios  lo  ejecutarian  sin  ningun  temor 
creyendose  protegidos. 

El  efecto  de  este  sistema  de  certificados  podria  compararse  a  desconectar  un  ordenador  de  la  red  y  quitarle 
las  disqueteras  y  CDs.  El  ordenador  en  este  caso  estara  completamente  protegido  de  virus, 
pero,  tseguira  resultandonos  util? 

La  opinion  de  Eugene  Kaspersky,  presidente  de  Kaspersky  Antivirus  (AVP) 

En  los  sistemas  modernos  hay  demasiados  tipos  de  ficheros  ejecutables,  programas  que  pueden  acceder 
a  los  componentes  del  ordenador.  Tambien  es  muy  complicado  que  un  sistema  no  tenga  problemas, 
incluyendo  agujeros  de  seguridad.  Por  todo  ello,  creo  que  los  virus  seguiran  existiendo  aunque  el  entorno 
contemple  la  seguridad  basada  en  certificados  digitales. 

Es  posible  desarrollar  un  entorno  completamente  protegido  por  la  comprobacion  de  firmas  digitales,  ipero 
los  usuarios  no  lo  usaran!,  porque  un  entorno  de  este  tipo  no  es  lo  suficientemente  amigable...  demasiadas 
limitaciones,  demasiados  avisos,  demasiadas  preguntas. 
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La  opinion  de  “Zulu”,  creador  de  virus  (LIFE_STAGES,  BubbleBoy,  Freelinks,  etc). 

Sinceramente  lo  veo  como  algo  ridiculo.  Si  esta  tecnologia  ya  fracaso  con  los  drivers  para  Windows  2000, 
es  mucho  mas  probable  que  fracase  con  aplicaciones,  ya  que  existen  mas  cantidad  de  aplicaciones  que  de 
drivers  y  un  usuario  normal  instala  mas  aplicaciones  que  drivers.  tAcaso  alguno  usa  controladores  de 
NVIDIA  o  Via  que  esten  firmados  digitalmente?,  no  me  parece...  Uno  terminada  deshabilitando  el  warning 
o  aceptando  por  costumbre  el  cartelito  de  aviso  de  driver  no  firmado  digitalmente. 

Mi  opinion  (Bernardo)  independiente  al  respecto  es  bastante  esceptica,  no  tanto  por  la  idea,  que  en  la 
teoria  me  parece  muy  util,  sino  por  la  implementation  que  al  final  se  realice  de  ella.  Resulta  bastante 
extrano  que  Microsoft,  tan  dada  a  los  problemas  de  seguridad  en  sus  sistemas  y  que  ha  protagonizado 
practicamente  dos  revoluciones  en  el  mundo  de  los  virus  (macros  e  Office  y  el  compendio  Outlook/VBS), 
pueda  resolver  de  un  dia  para  otro  un  problema  de  esta  envergadura. 

Por  otr  o  lado,  tambien  me  quedan  bastantes  dudas  en  el  aspecto  tecnico  y  practico  de  la  solution,  por  ej  emplo, 
como  este  esquema  va  a  proteger  la  interpretation  de  scripts  0  los  problemas  de  seguridad  de  terceras 
aplicaciones.  Imaginemos  que  tengo  AutoCAD  registrado  en  mi  Windows  XP  con  su  correspondiente 
certificado  digital  seguro  y  confiable,  por  tanto,  totalmente  validado  en  mi  sistema.  Sin  embargo,  cada  vez 
que  abra  un  nuevo  proyecto  con  este  programa  tengo  el  peligro  potential  de  contagio,  ya  que  es  factible 
realizar  un  virus  en  el  lenguaje  de  automatization  de  AutoCAD. 

Este  articulo,  parte  de  los  contenidos  de  la  Comparativa  Antivirus  2001,  fue  redactado  antes  de  que  se 
produjera  el  fiasco  protagonizado  por  VeriSign  con  la  emision  de  certificados  falsos  a  nombre  de  Microsoft. 
Tal  y  como  anunciabamos  entonces,  la  publicidad  y  el  soporte  a  este  incidente  por  parte  de  las  casas 
antivirus  podia  tener  una  segunda  lectura  basada  en  el  contenido  del  presente  articulo. 

Los  certificados  falsos  emitidos  a  nombre  de  Microsoft  podrian  haber  sido  aprovechados  para  crear 
un  virus  0  gusano  firmado  digitalmente  que  traspasara  sin  ningun  tipo  de  problemas  la  seguridad  de 
Windows  XP,  incluso  de  forma  mas  efectiva  que  los  actuales  gusanos  ya  que  se  trataria  de  codigo  confiable. 
No  es  de  extranar  entonces  que  las  casas  antivirus  pusieran  cierto  enfasis  en  publicitar  el  incidente  que 
vendria  a  demostrar  la  debilidad  de  este  sistema  global  contra  el  malware  que  amenaza  con  desplazar  a 
las  soluciones  antivirus  actuales. 


Bernardo  Quintero 


19/04/2001  Virus  y  telefonos  moviles 

Nueva  entrega  de  los  contenidos  y  entrevistas  adicionales  que  acompanan  a  la  comparativa  antivirus  2001 
desarrollada  por  Hispasec,  publicada  en  el  numero  de  abril  en  la  revista  PC-Actual  y  proximamente  en 
www.hispasec.com. 

Durante  el  pasado  ano  el  tema  de  los  virus  y  ataques  a  telefonos  moviles  ha  tornado  un  especial  protagonismo. 
Aunque  gran  parte  de  lo  que  se  dice  corresponde  a  la  mitologia  de  Internet  y  a  simples  “hoaxs”  (bulos) 
sin  ningun  fundamento  tecnico.  Resulta  curioso  ver  como  algunos  de  estos  avisos  totalmente  falsos,  que 
se  caracterizan  por  afirmar  que  ante  la  reception  de  un  determinado  tipo  de  llamada  el  terminal  podra 
quedar  totalmente  inutilizable,  saltan  a  medios  de  prensa  habitual  e  incluso  las  propias  operadoras  los 
dan  como  ciertos  en  sus  paginas  web. 
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Entre  los  incidentes  reales  mas  destacables  nos  encontramos  con  el  gusano  “Timofonica”,  que  si  bien 
infectaba  PCs  tenia  como  payload  (efecto)  el  envio  de  mensajes  SMS  aprovechando  una  pasarela  de 
Internet. 

El  i-worm  “Timofonica”  envia  mensajes  a  moviles  (5-06-2000) 
http://www.hispasec.com/unaaldia.asp7kU587 

En  lo  que  respecta  a  creaciones  especificas  para  dispositivos  moviles  nos  encontramos  con  varios  troyanos 
para  EPOC,  el  sistema  operativo  de  32bits  disenado  por  Psion. 

Virus  y  troyanos  en  ordenadores  de  mano  (3-08-2000) 

http://www.hispasec.com/unaaldia.asp7kU647 

Durante  la  entrevista  con  los  presidentes  de  AVP  y  Panda  tambien  charlamos  sobre  lo  que  nos  puede 
deparar  esta  nueva  corriente  de  especimenes: 

-  Este  ano  pasado  tambien  se  ha  hablado  mucho  de  telefonia  movil  en  relation  a  los  virus,  sin  embargo, 
aun  es  un  campo  que,  por  fortuna,  no  ha  sido  explotado.  tCuales  son  los  factores  que  dihcultan  hoy  por 
hoy  la  generacion  de  virus/gusanos  para  esta  plataforma? 

Habla  Eugene  Kaspersky  (presidente  de  Kaspersky  AntiVirus  -  AVP) 

Si,  tuvimos  muchas  consultas  al  respecto  cuando  antes  del  verano  del  pasado  ano  descubrimos  Timofonica, 
un  virus  que  realizaba  spam  con  mensajes  cortos  (SMS)  a  telefonos  moviles  GSM.  Aunque  el  efecto  del 
virus  era  mandar  mensajes  cortos  a  traves  de  Internet  aprovechando  una  pasarela  SMS  de  MoviStar, 
en  realidad  no  podia  introducir  ningun  tipo  de  codigo  en  los  telefonos  moviles,  y  su  replication  seguia 
basandose  en  los  ordenadores  tradicionales. 

Aunque  en  la  actualidad  no  existan  virus  100%  operativos  para  telefonia  movil,  es  de  prever  que  hagan  su 
aparicion  en  breve,  ya  que  los  dispositivos  de  ultima  generacion  no  estan  ni  mucho  menos  informatizados 
que  un  ordenador  personal.  Habra  sistemas  operativos,  procesadores  de  texto,  hojas  de  calculo,  editores 
incorporados,  etc.,  permitiendo  que  los  usuarios  creen  sus  propios  ficheros  ejecutables  y  que  sean 
facilmente  intercambiables  entre  dispositivos  sin  hilos. 

Por  ejemplo,  hoy  dia  existe  la  posibilidad  de  crear  virus  para  moviles  basandose  en  los  telefonos  WAP.  De 
momento  somos  muy  afortunados  porque  los  creadores  de  virus  no  han  podido  acceder  a  las  herramientas 
de  desarrollo  adecuadas. 

f.Como  los  operadores  de  telefonia  movil  pueden  contrarrestar  el  ataque  de  un  hipotetico  virus  para  WAP? 
De  la  misma  forma  que  los  virus  se  detectan  y  eliminan  en  el  correo  electronico  hoy  dia.  Habra  programas 
antivirus  instalados  en  los  gateways  de  WAP  que  filtraran  constantemente  el  trafico. 

Habla  Mikel  Urizarbarrena  (presidente  de  Panda  Software) 

La  telefonia  movil  esta  caracterizada  por  disponer  de  hardware  variado  y  de  capacidad  limitada.  Ademas, 
no  existe  un  sistema  operativo  sobre  el  que  los  virus  puedan  ejecutarse  0  provocar  infecciones. 

A  pesar  de  que  la  tecnologia  WAP  podria  ser  una  base  sobre  la  que  puedan  proliferar  los  virus,  se  ha  visto 
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que  es  muy  limitado  para  que  los  virus  puedan  actuar  hoy  por  hoy. 

De  cara  al  futuro,  parece  que  el  sistema  i-mode  puede  ser  una  plataforma  suficientemente  potente  y  portable 
como  para  que  los  virus  puedan  proliferar.  Sin  embargo  esto  no  sera  posible  hasta  que  se  extienda  el  uso 
de  Java  en  estos  sistemas. 

Creo  que  la  tecnologia  movil  es  un  campo  muy  a  tener  en  cuenta  y  que  en  el  plazo  de  un  ano  puede 
convertirse  en  una  nueva  via  de  infeccion.  En  Panda  estamos  investigando  este  campo  desde  hace  casi  un 
ano,  asi  que  es  muy  posible  que  exista  un  Panda  para  Moviles. 


Bernardo  Quintero 


29/07/2001  Reflexiones  sobre  SirCam 

Dos  anos  despues  de  que  apareciera  Melissa,  el  gusano  que  pillo  desprevenidos  a  miles  de  usuarios,  vamos 
para  atras,  como  los  cangrejos.  SirCam  solo  representa  una  nueva  faceta,  unas  mas,  del  mismo  problema. 
tHay  soluciones? 

Desde  la  simplicidad  de  Melissa  0  ILoveYou,  pasando  por  especimenes  mucho  mas  elaborados  y  complejos 
como  Hybris  0  Magistr,  el  problema  siempre  es  el  mismo.  Por  un  lado,  los  usuarios  que  no  se  resisten  a  la 
tentacion  de  abrir  el  archivo  adjunto  que  les  llega  a  traves  del  correo  electronico.  Por  el  otro,  los  antivirus 
que  siguen  siendo  incapaces  de  proteger  contra  virus  nuevos.  El  resultado  es  siempre  la  infeccion  de  miles 
de  sistemas,  la  espera  mientras  las  casas  antivirus  desarrollan  la  vacuna  y,  despues,  las  actualizaciones 
que  deben  realizar  los  usuarios  para  reconocer  el  nuevo  virus. 

En  el  mejor  de  los  casos,  cuando  se  trata  de  gusanos  de  gran  propagation,  la  vacuna  suele  estar  disponible 
entre  12  y  24  horas  despues  de  las  primeras  infecciones,  tiempo  mas  que  suficiente  para  que  el  virus  logre 
autoenviarse  a  miles  de  sistemas  aprovechando  Internet.  El  problema  se  agrava  si  tenemos  en  cuenta 
los  desfases  que  ocurren  entre  la  aparicion  de  la  vacuna  y  la  actualization  por  parte  de  los  usuarios.  A 
continuation  los  resultados  obtenidos  en  la  Encuesta  Antivirus  2001  -  Hispasec,  llevada  a  cabo  hace  unas 
semanas  sobre  mas  de  2000  usuarios  que  participaron  en  el  test  EICAR. 

Cada  cuanto  tiempo  suele  actualizar  su  antivirus: 

Todos  los  dias  ->  23,46% 

Dos  0  tres  veces  por  semana  ->  15,64% 

Una  vez  a  la  semana  ->  29,62% 

Dos  o  tres  veces  al  mes  ->  14,10% 

Una  vez  al  mes  ->  11,28% 

Trimestralmente  ->  2,82% 

No  suele  actualizarlo  ->  3,08% 

Tuvimos  ocasion  de  comentar  este  problema  con  Eugene  Kaspersky  y  Mikel  Urizarbarrena,  presidentes 
de  AVP  y  Panda  Software  respectivamente,  con  motivo  de  la  Comparativa  Antivirus  2001  de  Hispasec 
(http://www.hispasec.com/comp_avs2001. asp?id=i8).  Ambos  coincidieron  en  apuntar  a  la  heuristica 
como  solution,  si  bien  queda  patente  que  sigue  resultando  trivial  crear  virus  que  burlen  este  tipo  de 
detecciones  genericas. 
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Otras  soluciones  mas  genericas  pasan  por  el  uso  de  la  criptografla.  En  la  misma  comparativa  antivirus 
abordamos  esta  posibilidad  en  el  caso  concreto  de  Windows  XP  y  el  uso  de  la  firma  digital  a  nivel  de 
aplicaciones  (http://www.hispasec.com/comp_avs200i.asp?id=28). 

Visto  que  aun  existe  un  gran  numero  de  usuarios  que  hacen  oidos  sordos  a  la  regia  de  oro  de  no  abrir 
archivos  adjuntos  no  solicitados,  que  los  antivirus  no  planean  modificar  su  esquema  actual  y  que  tampoco 
esperamos  que  Microsoft  resuelva  este  problema  a  nivel  de  sistema  operativo,  vamos  a  proponer  una 
solution  intermedia. 

Actualizaciones  Urgentes  Automatizadas 

Como  hemos  visto,  el  desfase  de  tiempo  entre  la  aparicion  en  escena  del  virus  y  la  protection  efectiva  del 
usuario  es  debido  en  su  mayor  parte  al  proceso  de  actualizacion  del  antivirus.  La  mayoria  de  las  soluciones 
dejan  esta  action  a  discretion  del  usuario,  que  debe  activarla  manualmente. 

Existen  otras  soluciones  que  permiten  automatizar  estas  descargas,  si  bien  los  tiempos  no  suelen  ser 
inferiores  a  24  horas  y  aun  son  muchos  los  usuarios  reticentes  a  que  el  antivirus  decida  cuando  descargar 
cientos  de  kilobytes  sin  tener  en  cuenta  que  puede  consumir  ancho  de  banda  en  detrimento  de  otros 
servicios  que  se  esten  utilizando  en  ese  momento,  como  descarga  de  otros  archivos,  juegos  en  linea, 
videoconferencias,  etc. 

La  propuesta  consiste  en  que  el  antivirus  pueda  detectar  la  necesidad  de  una  actualizacion  urgente, 
como  por  ejemplo  la  de  SirCam,  y  proceder  a  la  descarga  automatizada  de  su  correspondiente  vacuna.  La 
comprobacion  periodica  a  traves  de  Internet  mientras  el  usuario  esta  conectado  no  tiene  por  que  consumir 
mas  que  unos  pocos  bytes  (puede  ser  inferior  a  1  Kb  a  la  hora),  trafico  insignificante  que  no  supone  molestia 
alguna  para  el  usuario. 

Ante  la  detection  de  una  alerta,  la  casa  antivirus  solo  tendria  que  modificar  el  estado  en  su  servidor  y  los 
antivirus  procederian  a  la  descarga  automatica  de  la  vacuna  de  forma  casi  inmediata.  El  trafico  producido 
en  el  caso  de  alerta  tambien  seria  minimo,  pues  incluiria  la  vacuna  especifica  para  el  virus  en  lugar  de  las 
actualizaciones  diarias  o  periodicas  que  suelen  incluir  information  sobre  decenas  de  especimenes. 

Bernardo  Quintero 


14/11/2001  Legislacion  norteamericana  contra  los  analisis  de  seguridad 

Recientemente,  EE.UU.  ha  aprobado  una  serie  de  leyes  encaminadas  a  declarar  ilegales  la  publication 
de  estudios  y  analisis  que  demuestren  vulnerabilidades  en  sistemas  hardware  0  software.  Las  leyes, 
englobadas  bajo  el  nombre  comun  de  DMCA  (Digital  Millennium  Copyright  Act),  pretender  defender 
las  industrias  de  contenidos  (audio,  texto  y  video)  frente  a  la  pirateria,  pero  sus  implicaciones  son  muy 
amplias  y  peligrosas. 

La  DMCA  convierte  en  ilegal  la  distribution  de  “circumvention  technology”  (tecnologia  para  burlar 
protecciones).  Entendido  en  un  sentido  amplio,  algo  que  ya  se  esta  aplicando  en  EE.UU.,  un  documento 
cientifico  describiendo  una  vulnerabilidad  en  una  tecnologia  entraria  dentro  de  esta  categoria  y,  por  lo 
tanto,  seria  ilegal  en  los  Estados  Unidos. 
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Publicar  casi  cualquier  trabajo  sobre  seguridad,  entonces,  seria  un  acto  delictivo  en  ese  pais. 

A  este  respecto  me  gustaria  exponer  una  serie  de  conclusiones,  a  titulo  personal: 

*  Aunque  publicar  informacion  sobre  vulnerabilidades  sea  ilegal,  la  information  seguira  circulando 
libremente  por  el  mundo  “underground”,  donde  el  anonimato  es  ley.  En  cambio,  los  administradores  de 
sistemas  y  responsables  de  seguridad,  siendo  personas  legales,  no  tendran  acceso  a  esa  informacion,  que 
si  tendran  sus  atacantes. 

*  El  progreso  tecnico  y  cientifico  se  basa  en  el  libre  flujo  de  informacion  y  en  estudios  independientes.  Esto 
es  especialmente  cierto  en  el  campo  de  la  criptologia.  Si  los  problemas  de  diseno  o  implementation  de  un 
sistema  criptografico  no  se  pudiesen  hacer  publicos  de  forma  legal,  los  usuarios  tendran  sistemas  debiles 
e  inseguros. 

Ya  existen  casos  demostrables  en  los  que  una  tecnologia  criptografica,  una  vez  expuesta  a  expertos 
independientes,  se  ha  demostrado  insegura:  el  cifrado  GSM,  la  protection  anticopia  de  los  DVDs,  el 
cifrado  WEP  de  las  redes  inalambricas  802.11...  Si  dichas  tecnologias  se  hubiesen  hecho  publicas,  el 
descubrimiento  de  sus  vulnerabilidades  se  habria  efectuado  antes  de  llegar  al  mercado. 

f.Quc  hubiera  ocurrido  si  la  publication  de  las  vulnerabilidades  fuese  ilegal?.  La  vulnerabilidad  seguiria 
existiendo,  por  supuesto,  y  seria  conocida  dentro  de  determinados  circulos.  El  publico,  no  obstante,  pensaria 
que  esta  utilizando  tecnologia  segura  y  de  calidad,  estando  a  merced  de  tiburones  sin  escrupulos. 

Adicionalmente,  sin  la  publicidad  de  las  vulnerabilidades,  las  empresas  no  tendrian  ningun  aliciente  para 
seguir  innovando  y  dotar  a  los  sistemas,  aunque  sea  tras  infinidad  de  intentos  fallidos,  de  verdadera 
seguridad  a  toda  prueba. 

Los  primeros  resultados  negativos  ya  se  han  empezado  a  ver: 

*  La  version  2.2.20  del  kernel  Linux,  de  reciente  aparicion,  indica  expresamente  en  su  fichero  de  “cambios” 
que  se  han  solucionado  varios  problemas  de  seguridad,  pero  que  no  se  proporcionan  detalles  para  no 
violar  la  DMCA. 

*  Un  ciudadano  ruso,  de  nombre  Dmitri  Sklyarov,  esta  pendiente  de  juicio  en  EE.UU.,  al  ser  coautor  de  un 
programa  utilizado  para  descifrar  ficheros  PDF.  El  programa,  elaborado  y  distribuido  por  una  firma  rusa, 
se  vende  desde  ese  pais.  Dimitri  esta  acusado  de  contravenir  la  DMCA,  aunque  sea  ciudadano  extranjero  y 
los  actos  de  los  que  se  le  acusa  se  realizasen  fuera  de  los  EE.UU..  Dimitri  fue  detenido  por  el  FBI,  tras  una 
denuncia  de  Adobe,  al  termino  de  una  jornadas  de  seguridad  desarrolladas  en  los  Estados  Unidos,  a  donde 
habia  viajado  desde  su  pais  natal.  El  trabajo  de  Sklyarov  es  perfectamente  legal  en  Rusia  y  en  la  mayoria 
de  los  paises  occidentales. 

Si  tienes  mas  de  un  hijo,  ipuedes  ir  de  vacaciones  a  China  sin  peligro  de  ser  encarcelado,  al  haber  violado 
una  ley  local  de  ese  pais,  mientras  estabas  en  el  exterior  y  siendo  ciudadano  foraneo?.  Probablemente  en 
China  si,  pero  no  en  los  Estados  Unidos,  si  se  ven  los  precedentes. 

*  El  profesor  Edward  Felten,  de  la  universidad  de  Princeton,  decidio  no  publicar  los  fallos  de  seguridad 
que  habia  descubierto  en  el  reto  SDMI  (Secure  Digital  Music  Initiative),  con  los  que  probaba  que  era 
posible  eliminar  las  “marcas  de  agua”  insertadas  en  una  cancion,  destruyendo  el  sistema  anticopia  puesto 
a  prueba  por  la  SDMI.  A  pesar  de  que  el  objetivo  del  reto  era  demostrar  si  los  sistemas  propuestos  eran 
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seguros,  algo  que  Felten  echo  por  tierra,  publicar  sus  resultados  seria  ilegal.  En  ese  sentido,  la  industria 
discografica  segula  intentando  aprobar  un  esquema  de  proteccion  musical  demostradamente  fallido, 
aunque  las  pruebas  de  ello  no  fuesen  publicas,  y  el  autor  de  las  mismas  tuviese  que  afrontar  denuncias 
judiciales. 

*  Recientemente  Niels  Ferguson,  criptografo  holandes  de  reconocido  prestigio  internacional,  afirmo 
haber  descubierto  una  vulnerabilidad  en  el  esquema  de  proteccion  HDCP  de  Intel.  HDCP  es  un  sistema  de 
cifrado  para  el  bus  DVI,  donde  se  conectan  televisores,  camaras,  reproductores  de  DVD  y  similares.  Segun 
Ferguson,  se  puede  obtener  la  clave  maestra  del  sistema  en  menos  de  dos  semanas.  Una  vez  obtenida  dicha 
clave,  se  pueden  copiar  o  crear  contenidos  sin  restriction,  crear  dispositivos  nuevos,  etc. 

Aunque  Ferguson  no  publico  los  detalles  (aunque  es  holandes,  podria  ser  detenido  en  cualquiera  de  sus 
viajes  a  EE.UU.),  poco  despues  se  desvelaron  todas  las  interioridades  de  forma  abierta,  a  traves  de  otra 
via:  Scott  A.  Crosby,  de  la  universidad  Carnegie  Mellon.  Estudiandolas  detenidamente,  se  puede  observar 
que  la  seguridad  del  sistema  HDCP  es  trivial. 

Como  se  cita  a  Ferguson  en  el  semanario  Ciberpais:  “Si  no  investigamos,  nunca  desarrollaremos  buenos 
esquemas  de  proteccion  anticopia.  La  DMCA  protege  al  fabricante  de  un  mal  producto  en  el  sentido  de  que 
es  ilegal  demostrar  que  es  defectuoso”.  De  hecho  la  DMCA  contraviene  sus  propios  intereses,  ya  que  sin 
poder  investigar  sistemas  anticopia  avanzados  es  imposible  desarrollar  esquemas  seguros. 

El  problema  de  la  DMCA  no  son  tanto  sus  objetivos  sino  los  medios  que  aborda  para  ello.  La  discusion 
de  vulnerabilidades  o  la  posesion  de  sistemas  capaces  de  saltarse  protecciones  no  debe  ser  algo  ilegal, 
sencillamente  porque  existen  multitud  de  usos  legales  para  esa  tecnologia  e  information. 

Los  cerrajeros,  por  ejemplo,  necesitan  disponer  de  sus  herramientas  de  forma  legal.  Las  empresas  de 
recuperation  de  datos  necesitan  herramientas  de  escaneo  de  discos  duros  a  bajo  nivel  para  poder  hacer 
su  trabajo. 

Las  herramientas  y  los  conocimientos  no  deberian  ser  ilegales  si  tienen  usos  beneficiosos.  Lo  que  debe  ser 
ilegal,  y  ya  lo  es  en  la  mayor  parte  de  los  paises,  es  la  copia,  venta  y  distribution  no  autorizada  de  material 
protegido  con  “copyright”.  Esa  legislation  ya  existe  y  se  utiliza  constantemente  desde  hace  decenios.  La 
DMCA,  en  su  estado  actual,  no  tiene  ningun  sentido. 

Prohibir  difundir  un  documento  porque  su  tematica  no  nos  es  grata  es  algo  prohibido  (salvo  casos 
excepcionales)  en  la  mayor  parte  del  mundo  “civilizado”,  tratandose  de  un  derecho  garantizado  con  leyes 
que  promueven  la  libertad  de  expresion  y  la  libertad  de  prensa.  Es  triste  comprobar  como  el  pais  del 
mundo  que  se  vanagloria  de  mayor  libertad  tira  por  tierra  su  “Primera  Enmienda”  constitucional  con 
una  ley  que  ni  siquiera  cumple  sus  objetivos  declarados.  El  reciente  fallo  judicial  catalogando  el  codigo 
“DeCSS”  como  protegido  por  la  libertad  de  expresion,  hecho  del  que  nos  hicimos  eco  en  Hispasec  esta 
misma  semana,  abre  una  brecha  legal  para  atacar  la  DMCA.  Cuando  el  juicio  de  Dmitri  Sklyarov  empiece 
(Dmitri  esta  actualmente  en  libertad  provisional  y  tiene  prohibido  abandonar  EE.UU.,  aunque  es  ruso  y 
reside  en  Rusia)  no  seria  sorprendente  que  la  DMCA  fuese  declarada  anticonstitucional. 

Mientras  tanto,  seguire  teniendo  mucho  cuidado  con  lo  que  digo,  aunque  sea  espanol  y  no  tenga  pensado 
viajar  a  EE.UU.  en  un  futuro  proximo... 

Recomiendo  a  todos  los  lectores  de  “Una-Al-Dia”  que  echen  un  detenido  vistazo  a  los  enlaces  que  siguen. 

Jesus  Cea  Avion 
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Entrevista 


Hablar  de  Jorge  Ramio  es  hablar  de  criptografia  y  seguridad  en  Espana  y 
Latinoamerica.  Es  Ingeniero  de  Ejecucion  en  Electronica  por  la  Universidad  del  Norte 
de  Arica  en  Chile,  Dr.  Ingeniero  de  Telecomunicacion  por  la  Universidad  Politecnica 
de  Madrid  y  actualmente  cursa  el  Master  y  Doctorado  en  Ingenieria  de  Sistemas  Jorge  Ramio  Aguirre 
y  Servicios  Accesibles  para  la  Sociedad  de  la  Informacion  en  la  UPM.  Entre  otras 
asignaturas,  en  la  Escuela  Universitaria  de  Informatica  EUI  ha  sido  profesor  desde  el  curso  1994/1995  de 
la  asignatura  Seguridad  Informatica.  Desde  el  curso  2004/2005  es  coordinador  de  la  asignatura  Gestion, 
Auditoria,  Normativas  y  Legislation  en  Seguridad  Informatica  que  en  el  curso  2007/2008  pasa  a  llamarse 
Temas  Avanzados  en  Seguridad  y  Sociedad  de  la  Informacion.  Desde  2006  imparte  junto  a  la  profesora 
Angeles  Mahillo  la  asignatura  Historia  de  los  Codigos  Secretos  en  formato  e-learning.  Ademas  es  creador  y 
Coordinador  de  la  Red  Tematica  Iberoamericana  de  Criptografia  y  Seguridad  de  la  Informacion  CriptoRed 
desde  diciembre  de  1999  y  Director  de  la  Catedra  UPM  Applus+  desde  mayo  de  2006.  Alienta  y  motiva  a 
sus  alumnos  como  nadie.  Le  gusta  lo  que  hace  y  eso  se  nota. 

Hispasec:  tCual  y  como  fue  tu  primer  contacto  con  Hispasec? 

Jorge  Ramio  Aguirre:  En  el  mes  de  diciembre  de  1999  cree  la  Red  Tematica  Iberoamericana  de 
Criptografia  y  Seguridad  de  la  Informacion  CriptoRed,  justo  un  ano  despues  del  nacimiento  de  Hispasec; 
es  decir,  somos  casi  de  la  misma  quinta.  Las  razones  de  su  creation  no  son  el  caso  comentarlas  aqui,  pero 
seguramente  coincidirian  con  algunas  de  las  razones  por  la  que  Hispasec  hizo  su  aparicion  en  la  Red:  el 
auge  ya  comprobado  en  esos  anos  de  la  seguridad  informatica,  una  especie  de  efervescencia  academica  y 
ganas  de  hacer  cosas  en  este  area  por  parte  de  las  universidades  y  la  conviction  certera  de  que  esto  de  la 
seguridad  seguiria  creciendo,  como  asi  ha  sido. 

Recuerdo  que  una  de  las  primeras  cosas  que  hice  al  crear  la  red  fue  ponerme  en  contacto  con  Bernardo 
Quintero  y  presentarle  el  proyecto.  De  hecho,  en  una-al-dia  del  23  de  abril  del  ano  2000  aparece  dicha 
presentation  y  contesto  a  algunas  cuestiones  que  Bernardo  me  plantea  con  respecto  al  proyecto.  En  esa 
fecha  la  red  tematica  contaba  con  110  miembros;  hoy  en  dia,  nueve  anos  despues,  los  miembros  son  mas 
de  730,  ambos  nos  hemos  hecho  mayores  de  edad. 

H:  tEstas  suscrito  a  una-al-dia?  e'.Desde  cuando? 

JRA:  De  acuerdo  a  lo  comentado  en  la  pregunta  anterior,  mi  fecha  de  alta  en  una-al-dia  deberia  estar  en 
torno  al  primer  trimestre  del  ano  2000.  Mas  de  ocho  anos  recibiendo  ese  servicio,  casi  desde  sus  inicios, 
no  esta  mal. 

H:  iComo  influyo  una-al-dia  e  Hispasec  en  la  difusion  de  CriptoRed? 

JRA:  Sin  lugar  a  dudas  muy  positivamente.  Primero  que  nada,  debo  decir  que  dicho  servicio  es  muy  bien 
valorado  en  toda  Latinoamerica,  paises  a  los  cuales  se  difunde  preferentemente  la  informacion  que  se 
genera  en  la  red  tematica,  y  que  su  Resumen  de  Actualidad  numero  5  correspondiente  al  mes  de  febrero 
de  2001  ya  se  publica  en  una-al-dia,  y  asi  ininterrumpidamente  durante  mas  de  80  meses. 

Ultimamente  la  media  de  accesos  a  CriptoRed  se  situa  sobre  los  1.200  diarios.  Cuando  en  Hispasec  se 
publica  en  una-al-dia  dicho  resumen,  esos  accesos  se  situan  sobre  los  2.000  el  primer  dia  de  su  publication 
y  en  torno  a  los  1.500  el  segundo  dia.  Por  tanto,  se  puede  concluir  que  hay  muchos  usuarios  de  este  servicio 
de  Hispasec  que  esperan  mes  a  mes  tales  resumenes  de  la  red  tematica,  preferentemente  para  descargarse 
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los  nuevos  documentos  que  habitualmente  se  suben  a  dicha  red.  En  conclusion,  debo  estar  muy  agradecido 
de  Hispasec  por  hacer  llegar  a  decenas  de  miles  de  usuarios  los  contenidos  de  CriptoRed. 

H:  fcCual  es  el  sitio  mas  interesante  en  el  que  has  estado  por  trabajo? 

JRA:  Podria  decir  que  mi  visita  a  vuestras  dependencias  en  Malaga,  pero  sonaria  a  peloteo.  Creo  que  no 
hay  un  sitio  en  especial  y  no  es  que  mi  vida  profesional  sea  aburrida  ni  mucho  menos;  por  ejemplo  no  he 
tenido  aun  ocasion  de  visitar  Bletchley  Park  ni  otros  museos  similares.  Por  la  red  tematica  que  coordino,  he 
visitado  desde  el  ano  2000  la  practica  totalidad  de  los  paises  latinoamericanos  por  razones  de  promotion 
de  dicha  red  o  bien  invitation  a  congresos  y  cursos,  algunos  de  ellos  en  varias  ocasiones,  y  de  todos  me  he 
traido  excelentes  recuerdos.  Ahora  bien,  si  en  vez  de  sitios  modificamos  la  pregunta  por  personas,  en  este 
caso  diria  que  conocer  y  compartir  conversation  y  experiencias  con  Martin  Heilman  y  Alfred  Menezes, 
dos  pesos  pesados  de  la  criptografia  mundial  y  que  he  tenido  la  suerte  de  invitar  a  congresos  DISI  y  CIBSI 
que  he  organizado:  como  casi  siempre  sucede  en  estos  casos,  te  das  cuenta  que  son  excelentes  personas  y 
de  una  humildad  increible  con  todo  lo  importantes  que  son. 

H:  fcPiensas  que  se  ha  perdido  el  “romanticismo”  de  aquellos  primeros  dias  en  la  red? 

JRA:  En  general,  es  muy  posible  que  si.  Ambientando  esta  pregunta  en  el  entorno  hacker,  esta  claro  que 
la  respuesta  es  afirmativa.  Hoy  prima  el  negocio,  se  estan  acabando  los  hackers  que  tenian  bien  ganado  ese 
apellido  de  ser  la  conciencia  de  la  red,  se  desea  ganar  dinero  lo  mas  rapidamente  posible  a  costa  de  lo  que 
sea  y  sin  contar  para  nada  con  unos  minimos  principios  eticos.  Estamos  avanzando  a  pasos  agigantados 
en  el  cibercrimen  y  los  problemas  que  esto  traera  no  solo  a  las  personas  sino  a  los  paises  no  seran  muy 
agradables.  Cierto  es  que  siempre  habra  quienes  esten  preocupados  de  que  los  sistemas  sean  mas  seguros 
(sin  ir  mas  lejos  Hispasec  entre  ellos)  pero  al  igual  que  sucede  con  las  leyes,  los  malos  iran  por  delante  y  los 
buenos  persiguiendoles  y  poniendo  parches.  Pero  volviendo  al  sentido  de  tu  pregunta,  tambien  es  cierto 
que  los  primeros  anos  de  Internet  y  del  correo  electronico,  finales  de  los  80,  fueron  maravillosos  porque 
todo  era  novedad,  eramos  como  chavales  ante  una  nueva  consola  con  prestaciones  insospechables. 

H:  iComo  y  por  que  te  metiste  en  esto? 

JRA:  Pues  muy  sencillo.  Corria  el  ano  1990  y  en  la  Escuela  Universitaria  de  Informatica  de  la  UPM  donde 
trabajo,  en  el  departamento  de  LPSI,  se  preparaba  el  nuevo  Plan  de  Estudios  para  1992.  Los  profesores  que 
asi  querian  podian  proponer  nuevas  asignaturas  optativas  y  estuve  dudando  entre  proponer  una  asignatura 
relacionada  con  la  ofimatica  o  bien  una  de  seguridad  informatica.  En  ambos  temas  se  comenzaba  desde 
cero  pero  habia  suficiente  tiempo  para  su  preparation  porque  las  primeras  clases  serian  en  el  curso 
1994/1995  •  No  se  muy  bien  por  que  me  decidi  por  la  de  seguridad,  pues  la  ofimatica  estaba  muy  de  moda  en 
esos  anos;  tal  vez  por  ser  un  desafio  mas  interesante  y  tener  un  campo  mas  amplio.  No  me  equivoque  y  no 
me  arrepiento;  en  estos  15  anos  he  visto  como  se  ha  desarrollado  la  oferta  academica  de  estas  asignaturas: 
de  las  mas  de  too  asignaturas  similares  que  se  ofrecen  en  las  universidades  espanolas  en  la  actualidad, 
la  de  Seguridad  Informatica  que  imparto  desde  1994  se  encuentra  entre  las  10  mas  antiguas.  Un  dato 
importante:  cuando  comence  en  esto  seguramente  seriamos  en  Espana  unos  50  a  75  profesores  dedicados 
a  la  seguridad  y  en  la  actualidad  estamos  en  torno  a  los  400.  Teniendo  en  cuenta  la  baja  contratacion  de 
nuevo  profesorado  en  las  universidades  desde  mas  de  una  decada  a  esta  parte,  este  espectacular  incremento 
en  la  oferta  y  grupos  de  seguridad  habia  por  si  solo  de  la  importancia  de  la  misma. 

H:  fcCuales  eran  los  principales  retos  a  finales  de  los  noventa? 

JRA:  Aunque  sea  simplificar  mucho  las  cosas,  en  los  comienzos  de  los  anos  noventa  se  repetia  hasta  el 
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cansancio  lo  de  confidencialidad,  integridad  y  disponibilidad,  y  digamos  que  poco  mas.  A  finales  de  esa 
decada,  ya  con  el  desarrollo  masivo  de  Internet,  recuerdo  haber  pasado  de  claves  RSA  de  512  a  1.024 
bits,  y  de  los  40  bits  de  clave  simetrica  en  una  sesion  SSL  a  los  128  actuales,  de  un  dia  para  otro,  algo 
impresionante.  El  reto  por  excelencia  era  encontrar  un  nuevo  algoritmo  de  cifra  simetrica  estandar,  dado 
que  el  DES  habia  ya  sucumbido  a  un  ataque  en  red  y  sin  embargo  seguia  siendo  el  estandar  de  cifrado 
simetrico.  A  finales  de  la  decada  llego  el  concurso  del  AES  y  ya  todos  sabemos  la  historia. 

No  obstante,  humildemente  siempre  me  pregunto  como  es  que  se  ha  pasado  tan  rapidamente  de  una 
paranoia  total  en  cuanto  a  la  limitation  de  la  longitud  de  las  claves  en  funcion  de  los  paises,  las  restricciones 
para  las  exportaciones  de  productos  criptograficos,  etc.,  a  la  democratization  (por  hacer  un  simil)  total 
de  la  criptografia.  Hoy  en  dia  encuentras  en  Internet  implementaciones  del  codigo  fuente  del  AES  en 
decenas  de  lenguajes....  con  el  cibercrimen  en  aumento  e  incluso  manifestaciones  claras  de  guerra  digital 
e  information  warfare,  aqui  nadie  se  rasga  las  vestiduras.  Tal  vez  haya  gato  encerrado.  Quien  haya  leldo  el 
libro  Cripto  de  Steven  Levy,  debera  concluir  que  obviamente  algo  ha  cambiado  en  nuestros  dias,  al  menos 
en  la  famosa  triple  alambrada. 

H:  tPara  cuando  una  carrera  universitaria  especifica  de  Seguridad  TIC? 

JRA:  Buena  pregunta.  De  momento  no  la  hay,  al  menos  en  Espana.  Pero  los  tiempos  cambian  y  mira 
por  donde  en  los  nuevos  planes  de  estudio  de  mi  escuela  orientados  hacia  la  convergencia  con  Bolonia,  se 
impartiran  las  nuevas  titulaciones  de  Graduado  en  Ingenieria  del  Software  y  Graduado  en  Ingenieria  de 
Computadores,  y  en  ambas  aparecen  “Fundamentos  de  la  Seguridad  de  la  Information”  y  “Seguridad  en 
Redes”  como  asignaturas  obligatorias  y  con  una  amplia  carga  lectiva.  Algo  por  lo  que  muchos  profesores 
veniamos  anos  suplicando,  al  menos  en  mi  caso  desde  el  ano  2.000  en  que  tuve  la  osadia  de  proponer  en  un 
congreso  celebrado  en  Palma  de  Mallorca  una  nueva  titulacion  especifica  en  seguridad  informatica.  Esto 
puede  ser  una  quimera,  pero  opino  que  tal  vez  no  vendria  mal  al  menos  analizar  esa  posibilidad  y  hacer 
un  estudio  de  mercado.  Lo  que  si  es  cierto  es  que  en  Espana  abundan  ofertas  de  postgrado  en  seguridad 
desde  distintas  universidades  y  organismos,  superando  en  la  actualidad  las  15,  un  numero  muy  a  tener  en 
cuenta  si  lo  comparamos  con  otras  especialidades  de  la  informatica  y  las  telecomunicaciones  mas  antiguas 
y,  supuestamente,  con  mas  cuota  de  mercado.  Si  a  eso  unimos  el  momento  incierto  por  el  que  pasa  el 
mercado  tradicional  de  la  informatica  en  nuestro  pais,  tal  vez  nos  llevariamos  mas  de  una  sorpresa. 

Pensado  solo  en  la  faceta  civil,  puesto  que  la  militar  va  por  otros  derroteros  mas  estrictos,  la  seguridad 
no  solo  esta  de  moda  sino  que  es  necesario  contar  con  ella  en  todos  los  niveles  de  diseno,  production, 
gestion  y  auditoria.  Ademas,  desde  hace  poco  mas  de  un  lustro  muchos  de  sus  procesos  son  de  estricto 
cumplimiento  de  acuerdo  con  las  actuales  leyes  de  protection  de  datos  y  normas  internacionales,  con  lo 
cual  se  cierra  el  ciclo  en  tanto  tales  procesos  deben  ser  auditados.  Sinceramente,  no  se  puede  pedir  mas. 
Tienes  razon,  hace  falta  una  nueva  titulacion  en  Seguridad  TIC;  el  tema  esta  en  quien  esta  dispuesto 
a  llevarse  el  gato  al  agua  y  comenzar  casi  desde  cero  con  esta  oferta;  no  es  facil  y  mucho  menos  en  el 
momento  que  vive  actualmente  la  universidad  espanola. 

H:  fcPor  donde  andaran  los  tiros  en  seguridad  en  el  futuro? 

JRA:  Sinceramente  creo  que  esto  no  hay  quien  lo  conteste;  como  dijo  Niels  Bohr  “predecir  es  muy 
dificil,  especialmente  el  futuro”.  No  obstante,  se  supone  que  el  advenimiento  de  la  computation  cuantica 
con  equipos  estables  y  a  un  coste  razonable  significara  un  cambio  radical  en  los  actuales  conceptos 
criptograficos.  Mucha  gente  opina  que  esto  nunca  llegara  a  ser  una  realidad  por  el  tamano  actual  de  estos 
equipos  y  sus  altos  costes;  pero  debemos  recordar  que  lo  mismo  se  decia  hace  40  anos  sobre  aquellos 
computadores  a  valvulas  de  vacio  y  de  tamahos  descomunales  y  todos  sabemos  a  lo  que  hemos  llegado  en 
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cuanto  a  miniaturization. 


Para  lo  que  no  hace  falta  ser  un  adivino  es  para  indicar  que  la  seguridad  de  la  information  ira  cada  vez 
teniendo  una  mayor  importancia  en  nuestra  sociedad,  en  instituciones  y  empresas  y  que,  por  lo  tanto, 
sigue  siendo  una  excelente  salida  profesional  para  nuestros  futuros  ingenieros. 

H:  IA  que  dedicas  mas  tiempo  ultimamente? 

JRA:  Aleer  una-al-dia...  bueno,  digamos  que  algo  mas.  Bromas  aparte,  ademas  deimpartir  tres  asignaturas 
relacionadas  con  la  seguridad  informatica  en  mi  universidad,  participo  como  profesor  invitado  en  5 
postgrados  en  Latinoamerica,  soy  director  de  la  catedra  UPM  Applus+  que  organiza  todos  los  anos  el 
Dia  International  de  la  Seguridad  de  la  Information  DISI,  congreso  gratuito  que  este  ano  trae  a  Madrid 
a  la  Dra.  Radia  Perlman  de  Sun  Microsystems  (quien  no  conozca  a  “la  Madre  de  Internet”  que  busque 
en  Google)  el  1  de  diciembre  de  2008,  y  coordino  CriptoRed  que  entre  otras  cosas  organiza  en  America 
Latina  un  Congreso  Iberoamericano  de  Seguridad  Informatica  todos  los  anos  impares,  de  forma  que  la 
quinta  edition  de  CIBSI  se  celebrara  en  noviembre  de  2009  en  Montevideo,  Uruguay,  nada  menos  que  en 
la  famosa  torre  Antel  de  dicha  ciudad  (lo  mismo,  quien  no  la  conozca  que  busque  en  Google).  Hay  otras 
actividades  paralelas  como  colaboracion  en  proyectos  de  investigation  y  desarrollo,  informes  tecnicos, 
etc.,  pero  creo  que  solo  con  esto  es  ya  suficiente  como  para  decir  que  no  tengo  demasiado  tiempo  libre,  lo 
cual  como  todos  sabemos  no  es  nada  saludable. 
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Capitulo 


1009843200  - 1041379199 


Durante  este  ano. 


OOOO 

_  “(.En  euros  o  en  pesetas?”  El  1  de  enero  comienzan  a  circular  en  doce  estados,  las 

monedas  y  billetes  fisicos  de  euro.  Se  populariza  como  regalo  una  bolsa  de  12  euros  con 

las  diferentes  monedas,  que  puede  adquirirse  en  bancos.  La  peseta  y  el  euro  conviviran 

durante  tres  meses,  y  en  todas  las  tiendas  se  repite  la  misma  pregunta  “tVas  a  pagar  en  euros  0  en  pesetas?”. 

A  las  pocas  semanas  se  descubre  que  ciertas  sustancias  en  las  monedas  provocan  alergias  en  la  poblacion. 

El  1  de  marzo  desaparece  la  peseta  como  moneda  de  curso  legal,  pero  todavia  podra  cambiarse  en  el  Banco 

de  Espana. 

_  Se  prohibe  por  ley  la  venta  de  cualquier  tipo  de  gasolina  con  plomo. 


_  La  pelicula  “Los  otros”,  de  Alejandro  Amenabar,  se  convierte  en  triunfadora  de  los  Premios  Goya  con 
ocho  galardones. 


Mircrosoft  entra  de  lleno  en  el  mercado  de  las  consolas  de  videojuegos  con  la  Xbox. 
Es  la  primera  consola  en  incorporar  un  disco  duro,  pensado  para  almacenar  partidas 
guardadas.  Su  precio  es  de  unos  300  dolares.  Cuenta  con  una  CPU  de  733  Mhz  y  una  RAM 
de  64  megas.  A  principios  de  2002  ya  habia  sido  lanzada  en  Estados  Unidos.  Su  integridad 
dura  poco  mas  de  un  mes.  Un  estudiante  del  Instituto  de  Tecnologfa  de  Massachusetts 

publica  el  codigo  de  su  BIOS.  Informa  con  todo  lujo  de  detalles 
de  todo  el  proceso  en  su  pagina  web,  junto  con  documentacion 
variada  sobre  su  funcionamiento.  El  estudiante  recibe  una 
llamada  telefonica  de  un  alto  cargo  de  Microsoft  y  cuelga  en 
su  web  el  mensaje  que  deja  en  su  contestador.  Todavia  esta 
disponible  en  la  direccion  http://web.mit.edu/bunnie/www/ 
proj/anatak/xboxedited.mp3.  Mas  tarde,  en  junio  de  ese  mismo 
ano,  se  publicarlan  los  detalles  tecnicos  de  todo  el  proceso  de 
arranque,  y  se  describirla  una  vulnerabilidad  que  permite  instalar 
software  en  la  mdquina.  Todo  fue  posible  gracias  a  tres  semanas 
de  trabajo  de  un  ingeniero  inverso  y  50  dolares  en  material. 


_  En  febrero,  la  sonda  espacial  Mars  Odyssey  comienza  a  cartografiar  la  superficie  de  Marte  a  traves  de 
un  sistema  termico.  En  mayo  se  encuentran  signos  de  depositos  de  hielo  en  el  planeta. 

_  Las  autoridades  britanicas  autorizan  el  nacimiento  de  un  bebe  probeta,  geneticamente 
seleccionado,  para  intentar  salvar  la  vida  de  su  hermano  enfermo. 

_  El  23  de  febrero  Ingrid  Betancourt,  candidata  a  la  presidencia,  y  su  jefa  de  debate  Clara  Rojasson  son 
secuestradas  por  las  FARC  en  Colombia.  Sedan  liberadas  mas  de  seis  anos  despues. 

_  El  dinero  esta  barato  en  Estados  Unidos.  Las  hipotecas  se  conceden  a  cualquiera,  sin  avales, 
sin  garantias.  Incluso  con  solo  responder  a  un  correo  basura,  donde  se  comienzan  a  anunciar  bancos 
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fantasmas  de  forma  masiva,  regalando  “mortgages”.  Se  establece  el  germen  de  la  crisis  economica  de 
2008  (calificada  como  la  peor  desde  1927). 

_  En  el  campeonato  del  mundo  de  futbol  de  2002,  Espana  vuelve  a  caer  en  cuartos  ante  Corea  del 
Sur. 


_  El  20  de  junio  los  sindicatos  UGT  y  CC.00  convocan  la  segunda  huelga  general  en  Espana.  Su 
seguimiento  seria  importante,  pero  menor  que  la  que  tuvo  lugar  el  14  de  diciembre  de  1988,  en  la  que 
ocasiono  gran  impacto  el  hecho  de  que  toda  RTVE  dejase  de  emitir  al  unisono.  Ambas  huelgas  estaban 
destinadas  a  protestar  contra  reformas  laborales  introducidas  por  el  gobierno. 

_  El  11  de  julio  un  grupo  de  gendarmes  marroquies 
toma  la  Isla  Perejil.  Se  trata  de  un  islote  deshabitado  a 
8  kilometres  de  Ceuta  reclamado  alternativamente  tanto 
por  Espana  como  por  Marruecos,  que  se  encuentra  en  un 
limbo  legal  sobre  a  quien  pertenece  realmente.  Marruecos 
exige  su  soberania  sin  dudas  juridicas  sobre  el  islote  y 
reivindica  que  forma  parte  de  su  territorio  nacional.  En 
verano  de  2002  desafia  a  Espana,  tras  una  escala  de 
incidentes  diplomaticos  en  los  que  se  crearon  tensiones  entre  ambos  paises,  seis  gendarmes  toman  la  isla 
por  sorpresa.  Poco  despues  son  sustituidos  por  soldados.  El  gesto  de  Marruecos  es  tachado  de  inamistoso 
por  la  OTAN  y  Espana  entra  en  el  primer  incidente  armado  tras  la  democracia,  en  una  simple  operation 
militar  que  duraria  apenas  unas  horas,  pero  en  la  que  se  despliega  un  pequeno  y  desproporcionado  ejercito. 
El  20  de  julio  Espana  recogeria  su  bandera  y  el  islote  volveria  a  quedar  deshabitado. 

_  En  septiembre,  George  W.  Bush  desafia  a  los  miembros  de  Naciones  Unidas,  para  que  afronten  el 
“grave  y  creciente  peligro”  que  representa  Iraq  o,  de  lo  contrario,  se  mantengan  al  margen  de  los  actos  que 
los  Estados  Unidos  y  aliados  pudieran  realizar. 


audiogalaxy 

*8 


_  Comienza  el  proyecto  emule.  Despues  del  cierre  de  Napster,  aparecen  alternativas 
como  WinMX  (que  cerraria  en  2005)  e  iMesh,  pero  ninguno  destaca  por  encima  del 
resto.  Llega  Audiogalaxy  y  con  el  la  epoca  dorada  del  intercambio  de  archivos  musicales. 

Mucho  mas  completo  y  eficiente  que  Napster,  tambien  desapareceria  por  presiones  de 
la  RIAA.  Se  utiliza  mucho  eDonkey2000,  pero  el  programa  cada  vez  contiene  mas  spyware  y  es  poco 
eficiente...  entonces  llega  emule,  programa  abierto  y  gratuito  que  se  impone  con  fuerza  desde 
ese  momento  y  hasta  nuestros  dias.  La  compania  propietaria  de  eDonkey2000,  MetaMachine, 
tambien  alcanzaria  un  acuerdo  en  2006  con  la  RIAA  para  evitar  un  juicio  por  violar  de  los 
derechos  de  propiedad  intelectual.  Tuvo  que  pagar  una  compensation  de  30  millones  de 
dolares. 


El  19  de  noviembre  se  parte  en  dos,  con  77.000  toneladas  de  fuel  dentro,  el  petrolero  Prestige 
en  las  costas  de  Galicia,  a  250  kilometros  de  Finisterre.  Antes  de  hundirse  definitivamente, 
cuando  se  detecta  el  dano  en  el  casco  del  barco  y  la  potencial  catastrofe,  el  gobierno,  las 
empresasdesalvamentoy  elcapitan  del  barco  comienzan  unasfracasadas  negociaciones 
con  las  que  no  llegan  a  ningun  acuerdo.  La  situacion  es  crftica  y  cada  minuto  cuenta. 
Mientras,  se  especula  sobre  si  es  mejor  alejarlo  o  acercarlo  a  las  costas  gallegas:  el 
valor  de  la  mercancfa  que  Neva  alcanza  los  60  millones  de  euros,  y  no  se  quiere  correr  el 
riesgo  ni  de  arruinar  las  costas  de  ningun  pais,  ni  de  perder  por  completo  el  cargamento. 
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Finalmente  el  petrolero  es  remolcado  lejos  de  las  costas 
gallegas,  se  intenta  evitar  la  contaminacion  de  las  Rias 
Bajas.  El  presidente  de  la  Junta  de  Galicia,  Manuel  Fraga, 
asegura  que  el  hundimiento  no  tendria  efectos  sobre  el 
medio  ambiente.  Mas  tarde  Aznar  reconoce  errores  de 
apreciacion.  Cuando  la  nave  se  hunde,  se  derramaron 
63.000  toneladas  de  fuel-oil  al  oceano.  Comienza  a  llegar 
a  la  costa  el  chapapote  en  forma  de  galletas  compactas 
de  fuel  que  destroza  las  playas,  la  flora,  los  peces  y  las  aves. 
Durante  todo  2003,  se  produciria  una  avalancha  espontanea  de  voluntarios  que  acuden 
a  limpiar  altruistamente  las  playas  equipados  con  monos  blancos.  Se  recogen  a  mano 
los  restos  de  crudo  derramado  que  se  escapa  del  barco  hundido.  El  10  de  septiembre  de 
2004  Repsol-YPF  daria  por  finalizada  la  tarea  de  extraccion  del  fuel  del  barco  hundido. 


Seguridad  Informatica 


_  A  principios  de  ano  se  detecta  SWF.LFM.926  un  virus  muy  primitivo  capaz  de  infectar 
los  archivos  de  Shockwave  Flash  (extension  .swf).  Se  trata  de  una  prueba  de  concepto, 
sin  riesgo  real,  que  demuestra  la  posibilidad  de  realizar  un  comportamiento  virico  en 
formatos  no  habituales. 


Aparece  un  virus  como  prueba  de  concepto  capaz  de  infectar  a  la  plataforma  .NET. 


_  El  usuario  no  aprende,  y  los  internautas  que  se  conectan  por  primera  vez  a  Internet  se  dejan  enganar  de 
nuevo.  A  principios  de  2002  rebrota  con  fuerza  el  bulo  del  archivo  de  Windows  Sulfnbk.exe. 


_  En  enero  se  presenta  la  especificacion  SAML  para  su  revision  publica,  un  fallido  intento  de  crear  un 
estandar  para  el  intercambio  de  informacion  de  autorizacion  y  autenticacion.  Security  Assertion  Markup 
Language  (SAML,  que  se  pronuncia  “samul”)  es  un  entorno  basado  en  XML  especialmente  disenado  para 
facilitar  el  intercambio  de  informacion  de  autenticacion  y  autorizacion  entre  los  diferentes  componentes 
de  la  infraestructura  de  seguridad  informatica. 


_  Virus  como  Myparty,  aunque  sin  ninguna  aportacion  tecnica  al  genero,  triunfan  por  ingenieria  social. 
El  asunto  del  correo  con  el  que  se  distribuye  es  “new  photos  from  my  party”. 


Bajo  el  nombre  de  Strategic  Technology  Protection  Program  (STPP)  Microsoft  presenta  una 
iniciativa  que  pretende  mejorar  la  seguridad  de  sus  sistemas  operatives  y  su  respuesta  ante 
nuevos  problemas  de  seguridad.  El  programa  Strategic  Technology  Protection  Program 
(STPP)  es  una  iniciativa  por  la  que  Microsoft  pretende  proporcionar  herramientas  gratuitas 
y  soporte  tecnico  a  empresas  de  cualquier  tamano.  Propone  entre  otras  medidas  un 
telefono  de  asistencia  gratuita  para  ayudar  a  los  clientes  a  resolver  incidencias  originadas 
por  un  virus,  asesoramiento  acerca  del  modo  de  instalar  actualizaciones  de  seguridad... 
Microsoft  tambien  se  compromete  a  publicar  de  forma  sistematica  y  bimensual  (aunque 
esta  periodicidad  naceria  ya  como  los  famosos  parches  mensuales)  los  conjuntos  de 
actualizaciones  de  seguridad.  Se  establece  la  idea  de  un  sistema  central  de  gestion  de 
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actualizaciones  (lo  que  mas  tarde  se  convertirfa  en  los  exitosos  Software  Update  Services, 
Windows  Software  Update  Services,  Microsoft  Operations  Manager...). 

Microsoft  se  toma  en  serio  su  “Trustworthy  Computing"  o  “Informatica  de  Confianza” 
que  anuncio  tras  llegar  a  lo  que  (por  aquel  entonces)  se  creia  techo  de  la  inseguridad  y 
problemas  acarreados  por  el  sistema  operativo  Windows  y  sus  productos.  Poco  despues, 
cuando  todavia  comenzaba  a  dar  los  primeros  pasos  hacia  la  implementacion  real  de 
este  nuevo  concepto  de  introduccion  de  seguridad  en  sus  productos,  virus  como  Blaster 
fueron  mucho  mas  alia  y  la  situacion  se  volveria  casi  insostenible. 


_  Hewlett-Packard  publica  una  distribution  comercial  Linux  con  novedosas  caracteristicas  de  seguridad, 
llamada  Linux  HP-LX  1.0.  Esta  basada  en  RedHat  7.1. 

_  Se  decubren  nuevos  ataques  contra  la  privacidad.  Microsoft  recopila  information  de  la  musica  y 
videos  reproducidos  a  traves  de  Windows  Media  Player  8  sin  avisar.  La  information  recopilada, 
aunque  limitada,  puede  formar  junto  con  otras  un  perfil  del  usuario.  Una  vez  procesada  la  information, 
Microsoft  devuelve  y  almacena  en  el  sistema  del  usuario  un  archivo  en  el  que  se  reflejan  las  preferencias 
del  usuario. 


_  En  marzo,  la  vulnerabilidad  de  los  routers  ADSL  de  Telefonica  que  se  descubriera  dos  meses 
atras,  se  comienza  a  aprovechar  de  forma  masiva  por  atacantes.  Los  routers  son  los  Efficient  SpeedStream 
5660.  Se  cometio  un  error  que  provocaba  que  los  filtros  IP  no  funcionasen.  Los  filtros  IP  se  utilizan,  por 
ejemplo,  para  limitar  el  acceso  administrative  del  router  a  ciertas  IPs.  Si  los  filtros  no  funcionan,  cualquier 
atacante  que  conozca  la  clave  puede  acceder  a  ellos  y  realizar  los  cambios  que  desee.  Como  las  claves  de 
los  ADSL  de  Telefonica  son  todas  iguales  y,  en  la  practica,  la  contrasena  en  cuestion  es  de  dominio  publico 
(adminttd,  adminttd),  a  efectos  practicos  cualquier  usuario  de  Internet  puede  conectarse  a  esos  router  y 
manipularlos  de  forma  arbitraria. 


_  Se  populariza  el  gusano  W32.Gibe.dam  que  Simula  ser  una  actualization  de  seguridad  que 
Microsoft  envia  por  correo. 

_  En  marzo  sale  a  la  luz  uno  de  los  hacks  mas  famosos  de  la  historia.  El  acceso  a  Internet 
gracias  a  los  tubos  de  galletas  Pringles.  Las  redes  inalambricas  empiezan  a  despuntar 
en  todo  el  mundo  y  surgen  proyectos  para  compartir  la  conexion  entre  usuarios  de  la  mismas 
ciudades.  La  BBC  informa  de  que  los  tubos  vacios  de  galletas  Pringles  pueden  convertirse  en 
unos  utiles  (y  baratos)  amplificadores  de  las  senales  de  radio.  Gracias  a  la  particular  forma  del 
tubo  de  Pringles,  es  posible  usarlo  como  amplificador  y  antena  direccional. 


_  Klez.H,  variante  del  original  virus  Klez,  es  oficialmente  proclamado  el  mayor  virus  de  toda  la  historia, 
robando  el  puesto  a  SirCam,  Melissa  e  incluso  al  famoso  I  Love  You,  uno  de  los  mas  populares.  Se  registran 
20.000  copias  del  virus  cada  dia,  con  una  media  de  una  infection  por  cada  300  correos  electronicos  que 
circulan  por  Internet.  Disfraza  los  correos  infectados  con  asuntos  completamente  aleatorios.  Las  sucesivas 
modificaciones  del  codigo  del  Klez  original  dan  lugar  a  nuevas  variantes  mucho  mas  complicadas  de 
detectar  y  cada  una  de  ellas  mas  popular  que  la  anterior  entre  la  comunidad  afectada. 


_  En  mayo,  un  matematico  japones  consigue  enganar  a  once  lectores  de  huellas  digitales 
invirtiendo  menos  de  10  dolares  en  material  y  una  hora  de  trabajo.  Tsutomu  Matsumoto  duplico  una  huella 
digital  resaltando  su  impresion  sobre  cristal  (por  ejemplo,  un  vaso  o  una  ventana)  mediante  adhesivo  de 
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cianoacrilato  (comercialmente  distribuido  con  marcas  tan  conocidas  como  “Super  Glue”)  y  fotografiando 
el  resultado  con  una  camara  digital.  La  imagen  resultante  se  mejoro  mediante  Photoshop  y  se  imprimio 
en  una  hoja  de  papel  transparente.  Matsumoto  utilizo  la  hoja  como  mascara  para  generar  un  circuito 
impreso  con  la  imagen  de  la  huella  digital  (para  proporcionar  “relieve”).  Seguidamente  obtuvo  un  dedo  de 
“gelatina”  empleando  el  circuito  impreso  para  proporcionarle  el  relieve  que  emula  la  huella  digital  original. 
El  resultado:  un  “dedo”  que  pasa  la  prueba  de  un  escaner  digital  con  una  efectividad  del  80%.  Se  cree  que 
la  biometria  es  el  futuro  de  la  informatica.  Incidentes  como  este  harian  que,  muchos  anos  despues,  siga  sin 
llegar  con  exito  rotundo  a  la  informatica  de  consumo. 

_  Las  tres  ramas  de  BIND  sufren  constantes  problemas  de  seguridad  durante  todo  el  ano.  Todavia  se 
mantienen  activas  la  4,  la  8  y  la  9. 


_  Apache  es  el  servidor  web  mas  popular  del  mundo,  con  mas  del  60%  de  cuota  de  mercado.  Se  descubre 
que  las  versiones  de  Apache  previas  a  la  1.3.26  y  2.0.39  son  susceptibles  a  un  ataque  realizado  a  traves 
de  cabeceras  incorrectas  en  los  “chunked  data”.  Los  “chunked  data”  (datos  troceados)  permiten  enviar 
segmentos  de  datos  de  forma  paulatina,  por  ejemplo,  si  no  se  conoce  el  tamano  final  de  los  datos  pero 

se  quiere  realizar  la  transmision  a  medida  que  se  van  obteniendo,  en 
vez  de  esperar  a  tenerlos  todos.  Se  trata  de  una  modalidad  de  protocolo 
HTTP  poco  utilizada.  Las  versiones  de  Apache  vulnerables  no  gestionan 
adecuadamente  la  presencia  de  valores  ilegales  en  la  cabeceras  “chunked 
_  _  _  .  .  _  data”  y  esto  puede  permitir  la  ejecucion  de  codigo.  No  tardan  en  aparecer 

XV I  l  ■  I  1 1  exploits  y  se  convierte  en  una  grave  vulnerabilidad. 


_  La  Agencia  Federal  de  comunicacion  e  Information  del  gobierno  ruso  declara  a  bombo  y  platillo  que 
el  nuevo  sitio  web  del  presidente  www.president.kremlin.ru  esta  blindado  contra  ataques.  Recuerda  a  la 
sonada  campana  de  Oracle  cuando  presento  su  version  9i  con  el  nombre  de  “Unbreakable”,  (irrompible). 
A  finales  de  2001  Internet  se  lleno  de  anuncios  y  banners  que  prometian  que  la  nueva  version  de  Oracle 
era  irrompible.  Entre  la  comunidad,  este  mensaje  perteneciente  a  una  agresiva  campana  de  marketing 
no  pudo  mas  que  tomarse  a  broma.  No  tardaron  en  aparecer  todo  tipo  de  desbordamiento  de  memorias 
intermedias,  fallos  remotos,  locales,  internos,  exploits...  algunos  incluso  obvios  y  triviales.  El  software  de 
Oracle  seguia  siendo  vulnerable  a  todo  tipo  de  fallos  de  seguridad,  tanto  0  mas  que  sus  predecesores  y,  con 
el  tiempo  se  sabria,  menos  que  sus  sucesores.  La  campana  todavia  se  recuerda  por  lo  pretenciosa  y  popular 
que  resulto.  Nunca  mas  Oracle  usaria  esa  campana. 


_  En  junio  de  2002  se  encuentra  un  grave  fallo  de  seguridad  en  OpenSSH  que  permite  a  un  atacante 
remoto  obtener  total  control  del  sistema. 


_  Ross  Anderson  publica  un  estudio  analizando  la  iniciativa  de  Intel,  HP,  IBM  y  Microsoft  denominada 
“Trusted  Computing  Platform  Alliance”  (TCPA,  que  en  2003  se  convertiria  en  la  Trusted  Computing 
Group).  Se  supone  que  su  objetivo  es  que  la  nueva  generation  de  ordenadores  personales  sean  mas  seguros, 
pero  segun  Anderson,  el  objetivo  real  es  aumentar  la  seguridad  en  aquello  que  interesa  a  los  fabricantes 
de  ordenadores  y  de  software,  en  contra  de  los  intereses  reales  de  los  usuarios  de  los  mismos  en  materia 
de  seguridad.  Ademas  Anderson  afirma  que  la  TCPA  ,  si  prospera,  puede  ser  una  amenaza  directa  a  la 
comunidad  de  software  de  codigo  abierto,  por  motivos  mas  directamente  relacionados  con  la  economia 
que  no  con  la  tecnologia. 

_  Bernardo  Quintero  y  Jesus  Cea  acuden  de  invitados  a  e-Gallaecia.  Hablan  de  los  problemas  de  las 
detecciones  basadas  en  firmas  y  crean  en  directo  un  gusano  para  la  ocasion  en  apenas  unas  lineas  de  VBS, 
para  comprobar  como  con  simples  modificaciones  se  hacia  invisible  a  los  motores  antivirus.  Era  una  prueba 
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de  concepto  muy  basica  que  no  infecto  a  nadie,  y  ademas  se  envia 
a  los  laboratories  antivirus  para  que  la  incluyeran  en  sus  firmas. 
Lo  bautizaron  como  “Galla”.  Enumeran  diferentes  estrategias  para 
hacer  frente  a  las  limitaciones  de  la  deteccion  por  firmas,  desde 
la  heuristica  en  el  analisis  de  codigo  hasta  la  deteccion  generica 
basada  en  el  comportamiento.  Algo  que  seria  comun  a  partir  de 
2005.  En  2002  nadie  habia  apostado  fuerte  por  esta  estrategia  de 
deteccion  basada  en  el  comportamiento  como  complemento  a  las 
firmas.  Hispasec  presenta  entonces  su  propia  prueba  de  concepto: 
SecureCenter.  Creado  para  la  ocasion,  basicamente  contaba  con 
un  monitor  de  archivos  y  del  registro  de  Windows,  ademas  de  alguna 
option  para  configurar  automaticamente  contra  virus  algunos 
aspectos  de  Windows  y  Office.  La  idea  era:  en  vez  de  reconocer  a 
los  virus  por  una  firma  que  los  identifique,  reconocerlos  de  forma 
generica  por  el  tipo  de  acciones  que  pretenden  llevar  a  cabo  en  un 
sistema.  El  programa  fue  descartado,  aunque  suponia  un  adelanto 
a  las  tecnicas  que  mas  tarde  ofrecerian  todos  los  antivirus. 

_  Se  bautiza  con  el  nombre  de  Frethem  un  gusano  caracterizado  por  venir  en  un  mensaje  con  el  asunto 
“Re:  Your  password!  Alcanza  indices  de  incidencia  bastante  altos.  El  virus  tiene  las  mismas  caracteristicas 
que  BadTrans,  Nimda  o  Klez,  pero  aun  asi  consigue  altas  cotas  de  infection.  Aprovecha  la  vulnerabilidad 
iFRAME  del  Internet  Explorer  5.01  y  5.5  y  puede  hacer  que  el  usuario  se  vea  infectado  sin  llegar  a  abrir  el 
mensaje,  puesto  que  consigue  ejecutarse  desde  las  vista  previa  de  mensajes  del  cliente  de  correo  electronico 
Outlook  y  Outlook  Express. 

_  Se  populariza  en  los  virus  el  cambio  o  falsificacion  de  direccion  de  remitente  en  los 
correos.  Recibir  un  mensaje  que  intenta  infectar  con  el  virus  del  momento  no  indica  expresamente  que  el 
remitente  mostrado  tambien  este  infectado.  Los  usuarios  comienzan  a  acusar  o  advertir  a  los  remitentes, 
creando  una  preocupacion  innecesaria.  Esto  tambien  provoca  un  aluvion  de  mensajes  automaticos 
informativos  de  los  antivirus  en  las  pasarelas  de  correo:  primero  los  del  tipo  que  avisan  al  supuesto 
remitente  de  una  falsa  infection.  Segundo  los  que  avisan  al  receptor  de  que  una  direccion  (simulada  y  que 
nada  tiene  que  ver  con  su  dueno  real)  intenta  infectarlos.  Se  crea  mucha  confusion,  acusaciones  y  mala 
imagen  injustificada  entre  usuarios  y  empresas. 


Es  el  ano  de  los  programas  troyanizados  en  servidores  oficiales.  En  agosto  se  detecta  que 
la  distribucion  oficial  de  OpenSSH  esta  troyanizada.  El  codigo  fuente  del  paquete  OpenSSH 
es  modificado  por  un  intruso  y  puesto  a  disposicion  de  todos  a  traves  de  la  pagina  web. 
Entre  el  30  y  el  31  de  julio  se  inserto  el  codigo  de  un  troyano  en  las  versiones  de  OpenSSH 
3.2.2pl,  3.4pl  y  3.4  sobre  el  servidor  FTP  oficial  de  OpenBSD  y  de  ahi se  propago  a  traves  del 
proceso  normal  de  replicacion  a  otros  servidores  FTP.  Las  versiones  de  OpenSSH  afectadas 
por  el  troyano  contienen  un  codigo  que  permite  abrir  una  shell  remota  con  los  permisos 
del  usuario  que  compilo  OpenSSH.  Ocurriria  lo  mismo  con  Sendmail  en  octubre  de  ese 
mismo  ano.  Un  intruso  modifica  el  codigo  fuente  para  incluir  el  troyano  y  compromete 
la  seguridad  del  servidor  FTP  oficial  para  hospedar  las  copias  infectadas.  En  noviembre, 
el  servidor  utilizado  para  la  distribucion  de  dos  herramientas  muy  utilizadas  por  los 
profesionales  de  la  seguridad,  tepdump  y  libpeap,  tambien  es  atacado  para  introducir  un 
troyano  en  el  codigo  fuente  de  estos  programas.  El  troyano  consistia  en  una  modificacion 
del  archivo  de  configuracion  (./configure)  y  de  uno  de  los  archivos  de  codigo  fuente  para 
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permitir  a  un  atacante  tomar  el  control  del  sistema  afectado  en  remoto.  Por  otra  parte  la 
modificacion  efectuada  en  el  codigo  fuente  de  libpcap  es  para  ignorar  todo  el  trafico 
con  origen  o  destino  a  la  puerta  trasera. 


_  Symantec  anuncia  la  adquisicion  de  cuatro  companias  centradas  en  el  mercado  de  la  seguridad: 
Mountain  Wave,  Recourse  Technologies,  Riptech  y  SecurityFocus,  por  un  valor  total  cercano  a  los  375 
millones  de  euros.  La  adquisicion  del  portal  SecurityFocus,  que  hasta  el  momento  gozaba  de  una  gran 
reputation  como  portal  de  information  independiente  sobre  seguridad,  levanta  una  gran  polemica.  Los 
niveles  de  calidad  de  la  pagina,  sin  embargo,  se  mantendrian  con  el  tiempo. 


Palladium  es  el  nombre  en  clave  que  recibe  una  iniciativa  de  Microsoft  para  implementar 
la  especificacion  TCPA  (Trusted  Computing  Platform  Alliance).  Se  habla  de  Palladium 
como  un  ambicioso  proyecto  que  supone  una  revolucion  en  la  arquitectura  del  PC  que 
hoy  conocemos.  El  objetivo  final  del  proyecto  Palladium  es  crear  una  nueva  plataforma 
informatica  que  mejore  ostensiblemente  la  capacidad  de  los  usuarios  para  proteger  la 
privacidad  de  sus  datos  y  controlar  el  software  que  se  ejecuta  en  sus  mdquinas.  Microsoft 
tambien  plantea  Palladium  como  la  plataforma  para  una  nueva  serie  de  servicios 
relacionados  con  la  privacidad,  el  comercio  electronico  y  el  entretenimiento.  Uno  de  sus 
objetivos  basicos  es  poner  fin  al  descontrol  existente  en  el  mundo  de  los  virus  informaticos. 
Unadelascaracterlsticasquemdsllamalaatencioneslaposibilidaddeimpedirlaejecucion 
de  cualquier  codigo  que  no  este  firmado  digitalmente  por  una  fuente  de  confianza,  pero 
a  nivel  de  hardware.  Los  defensores  del  software  libre  se  quejan.  Si  la  nueva  version  del 
nucleo  de  Linux,  por  ejemplo,  no  dispone  de  una  firma  digital  de  una  gran  compania, 
un  sistema  basado  en  Palladium  se  negaria  a  ejecutarlo.  Se  crea  StopPalladium.org.  El 
proyecto  Palladium  como  tal  fracasa  y  se  desvanecerfa  en  enero  de  2003,  pasando  a 
llamarse  “Next-Generation  Secure  Computing  Base  for  Windows”  y  funcionando  de  forma 
mucho  mas  discreta  y  menos  intrusiva  de  lo  imaginado  en  un  principio. 


_  En  junio,  la  muerte  del  responsable  de  la  conservation  y  archivado  de  importantes  documentos  historicos 
de  Noruega  los  deja  inaccesibles.  Los  documentos  se  conservaban  cifrados,  y  la  unica  persona  que  conoce 
la  clave  muere  sin  comunicarla.  Ottar  Grepstad,  director  del  Centro  National  de  Lenguaje  y  Cultura  de 
Noruega,  realiza  un  llamamiento  mundial  sobcitando  ayuda  para  atacar  el  cifrado  o  sus  contrasenas, 
y  asi  recuperar  los  documentos.  Apenas  cinco  horas  mas  tarde,  un  programador  sueco  envia  la  clave: 
LADEPUJD.  La  clave  se  trata,  en  realidad,  del  nombre  escrito  al  reves  del  propietario  original  de  los 
archivos.  Esa  information  se  indicaba  en  el  dossier  publicado  con  los  antecedentes  de  los  archivos,  con  la 
esperanza  de  que  proporcionasen  alguna  pista  sobre  la  clave  utilizada.  Cientos  de  usuarios  acertarian  sin 
dificultad  la  respuesta  correcta 

_  En  agosto  salta  a  los  medios  un  troyano  capaz  de  burlar  a  los  cortafuegos.  Aprovecha  Internet 
Explorer  para  burlar  las  protecciones  de  los  firewalls,  aunque  el  concepto  no  es  nuevo  y  lleva  tiempo 
utilizandose.  El  troyano,  disenado  como  prueba  de  concepto,  se  da  a  conocer  en  la  DefCon  con  el  nombre 
de  Setiri.  La  “novedad”  que  incorpora  es  que  abre  una  ventana  invisible  de  Internet  Explorer  y  se  conecta 
con  un  sitio  para  descargar  distintos  modulos  del  troyano,  recoger  los  comandos  y  enviar  information 
sensible.  Los  cortafuegos  personales  que  se  instalan  como  software  en  los  mismos  sistemas,  no  detectan 
nada  anormal  en  Setiri  puesto  que  la  transmision  de  datos  se  realiza  a  traves  del  Internet  Explorer,  una  de 
las  primeras  aplicaciones  que  se  marcan  como  legitimas  para  conexiones  externas  en  el  cortafuegos.  Esta 
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tecnica  seria,  a  partir  de  2004,  usada  por  la  practica  totalidad  del  malware  bancario. 

_  MessageLabs  protagoniza  unas  vergonzosas  declaraciones.  Desde  la  compania  britanica  se  lanzan 
los  siguientes  titulares:  “Los  creadores  de  virus  a  traves  de  Internet  se  convierten  en  inofensivas  reliquias 
del  pasado”.  “Expertos  aseguran  que  desaparece  la  amenaza  de  los  virus”.  Queda  la  duda  de  si  forma  parte 
de  una  burda  tactica  para  provocar  la  creation  de  nuevos  virus  o  si  se  trata  de  un  intento  desesperado 
de  alcanzar  cierta  notoriedad  en  los  medios  de  comunicacion.  MessageLabs  ofrece  un  servicio  antivirus 
externo  para  filtrar  el  correo  electronico.  El  simulacro  de  argumento  ofrecido  por  la  compania  viene  a 
decir:  “Han  pasado  18  meses  desde  que  el  virus  Anna  Kournikova,  considerado  por  muchos  el  ultimo  gran 
virus  de  ordenadores  creado  por  un  precoz  programador,  infligio  graves  danos  en  el  mundo  corporativo, 
en  lo  que  podria  ser  un  indicio  de  que  su  epoca  ha  pasado.  Ya  no  son  la  amenaza  que  eran”.  Mark  Toshack, 
analista  de  la  firma  britanica  de  seguridad  MessageLabs,  se  cubriria  de  gloria. 


Dos  esfuerzos  distribuidos  mundiales  culminan  sus  retos  con  exito,  tras  casi  cinco  anos  de 
proceso.  El  reto  RC5-64  forma  parte  de  un  conjunto  de  retos  ofertados  por  la  compania 
RSA,  con  el  fin  de  concienciar  a  los  usuarios  sobre  la  importancia  de  la  criptografia  y  la 
resistencia  relativa  de  cada  algoritmo  segun  el  tamano  de  claves.  Distributed.net  coordina 
el  proyecto.  Voluntarios  prestan  de  forma  altruista  los  tiempos  “ociosos”  de  sus  mdquinas 
para  procesar  datos  del  algoritmo  de  cifrado  elegido.  Mediante  un  sistema  distribuido 
donde  son  asignados  bloques  de  claves  a  cada  cliente  y  coordinadas  con  un  servidor,  se 
intenta  por  fuerza  bruta  averiguar  el  mensaje  cifrado  con  un  algoritmo  concreto.  En  1999 
se  propusieron  romper  un  mensaje  cifrado  con  el  algoritmo  RC5  de  64  bits  por  fuerza  bruta 
y  en  julio  de  2002  la  clave  buscada  es  encontrada  por  un  Pentiumlll  a  450Mhz,  en  Japon. 
La  clave  en  cuestion  es  “0x63DE7DC154F4D039",  y  el  texto  descifrado  se  lee  como  “Some 
things  are  better  left  unread". 


^  tribute®^ 


it 


Los  detalles  destacados  del  reto: 

.  Se  ha  mantenido  en  funcionamiento  ininterrumpido 
durante  casi  5  anos,  aprovechando  los  recursos 
puestos  a  su  disposicion  por  cientos  de  miles  de 
usuarios  repartidos  por  todo  el  mundo. 

.  A  lo  largo  del  proyecto,  se  han  involucrado  en  el 
mas  de  331.252  personas. 

.  Hasta  encontrar  la  clave  correcta,  se  comprobaron 
15.769.938.165.961.326.592  claves  distintas. 


.  Ha  habido  dlas  en  los  que  se  ha  comprobado  el  0.12%  del  espacio  de  claves.  Si  ese  ritmo 
se  hubiera  mantenido  durante  todo  el  proyecto,  se  hubiera  encontrado  la  clave  en  790 
dlas,  en  vez  de  en  1757. 

.  Ese  ritmo  es  equivalente  a  32.504  Apple  PowerBook  G4  a  800  MHz  o  45.998  AMD  Athlon 
XP  a  2  GHz  trabajando  a  la  vez. 

En  noviembre,  tras  cuatro  anos,  un  equipo  de  la  universidad  de  Notre  Dame,  en  Indiana, 
supera  el  reto  ECCp-109,  propuesto  por  la  empresa  Certicom  en  1997.  La  criptografia 
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de  curvas  elfpticas  permite  la  creacion  de  criptosistemas  asimetricos  (como  RSA),  pero 
utilizando  curvas  elfpticas  en  vez  de  numeros  primos.  Su  ventaja  fundamental  consiste 
en  que  las  claves  son  mucho  mas  cortas  (160  bits  en  vez  de  1024  bits,  por  ejemplo)  y  los 
requerimientos  de  memoria  y  CPU  para  realizarlas  operaciones  criptograficas  son  bastante 
inferiores.  Su  desventaja  fundamental  es  que  muchas  de  sus  variantes  estan  patentadas  y 
no  pueden  utilizarse  de  forma  libre. 

El  reto  ECCp-109  ofrece  un  premio  de  10.000  dolares  a  quien  consiga  descifrar  un 
mensaje  cifrado  con  una  clave  ECC  de  109  bits.  El  equipo  de  la  universidad  de  Notre 
Dame  mantuvo  10.000  ordenadores  funcionando  24  horas  durante  549  dfas  para  descifrar 
el  mensaje.  Participan  mas  de  247  equipos  de  todo  el  mundo,  sumando  mas  de  10.308 
personas.  Certicom  patrocina  estos  retos  como  una  forma  de  verificar  la  seguridad  de 
su  tecnologfa,  para  aumentar  el  conocimiento  de  la  misma  por  parte  del  publico  y  para 
demostrar  la  robustez  del  sistema  criptografico  incluso  con  claves  de  pequeno  tamano. 
Comercialmente  Certicom  utiliza  tecnologfa  de  163  bits,  lo  que  resulta  unos  cien  millones 
de  veces  mas  robusta  que  el  reto  resuelto. 


_  Con  la  presentation  del  Service  Pack  l  para  Windows  XP,  Microsoft  pretende  que  unicamente 
los  usuarios  de  copias  legales  del  sistema  operativo  pudieran  instalarlo.  El  resultado  es  un  autentico 
fiasco.  Cuando  se  procede  a  la  instalacion  del  Service  Pack  para  Windows  XP  el  programa  de  instalacion 
realiza  una  verification  para  determinar  si  el  sistema  operativo  es  una  copia  legitima  o  pirata.  Para  ello, 
se  comprueba  el  numero  de  serie  del  sistema  cotejandolo  con  una  lista  negra.  Si  el  numero  de  serie  figura 
dentro  de  esta  lista,  no  puede  realizarse  la  instalacion.  Desde  entonces,  cada  vez  que  un  usuario  visite  el 
servicio  “Windows  Update”  se  procedera  a  comprobar  si  su  sistema  operativo  es  una  version  legitima. 
Tan  pronto  como  se  detecte  una  version  pirata,  Microsoft  bloqueara  el  acceso  al  servicio  automatico  de 
actualizaciones  aunque  se  podra  seguir  actualizando  el  sistema  a  traves  del  servicio  de  actualizaciones 
interno.  No  obstante,  y  antes  de  incluso  de  la  disponibilidad  oficial  del  Service  Pack,  se  publicaron  en 
diferentes  web  metodos  que  explicaban  como  saltarse  esta  protection  de  forma  que  los  usuarios  de 
versiones  no  legales  de  Windows  XP  tambien  pudiesen  realizar  la  instalacion  del  Service  Pack. 


El  21  de  octubre  Internet  se  tambalea.  Se  realiza  un  ataque  organizado  de  denegacion  de 
servicio  sobre  los  servidores  raiz  DNS.  Cada  vez  que  se  escribe  un  nombre,  este  debe  ser 
traducido  a  una  direccion  IP  numerica.  Cada  ordenador  tiene  la  direccion  del  servidor 
de  nombres  local,  habitualmente  configurado  por  el  ISP.  Si  este  servidor  de  nombres  local 
no  conoce  la  conversion  a  realizar,  pasa  la  solicitud  de  conversion  al  servidor  responsable 
del  dominio  .COM  (dominio  de  primer  nivel).  En  el  caso  de  que  no  sepa  cual  es  el  servidor 
responsable  del  dominio  de  primer  nivel,  realiza  la  consulta  a  uno  de  los  servidores  rafz.  Estos 
servidores  rafz  disponen  de  punteros  a  todos  los  servidores  responsables  de  los  dominios  de 
primer  nivel:  .com,  .net,  .org,  .es,  .uk,  .info... 

En  2002  existen  13  sistemas  considerados  servidores  rafz  en  todo  el  mundo:  diez  de  ellos 
situados  en  Estados  Unidos,  dos  en  Europa  (Londres  y  Estocolmo)  y  otro  en  Japon  (muy 
poco  despues  se  unirfa  un  decimocuarto  servidor  rafz  situado  en  Espana  por  Espanix).  La 
distribucion  original  deja  mucho  que  desear  por  su  elevada  concentracion  de  servidores 
en  areas  geograficas  muy  reducidas.  Durante  aproximadamente  una  hora,  entre  las  22:45 
y  las  23:45  CET  del  21  de  octubre,  se  detecta  un  ataque  distribuido  de  denegacion  de 
servicio  contra  todos  los  servidores  rafz.  Durante  el  apogeo  del  ataque  un  maximo  de  siete 
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servidores  ralz  tuvieron  problemas  y  se  calcula  que  unicamente  un  6%  de  las  peticiones  de 
resolucion  no  fueron  atendidas.  Lo  mas  significative  de  este  ataque  fue  que  tenia  como 
objetivo  todos  los  servidores  ralz,  de  forma  simultanea. 

Con  anterioridad  han  existido  algunos  problemas  con  la  resolucion  de  nombres  con  un 
impacto  mayor.  En  abril  de  1997  el  sistema  de  resolucion  de  nombres  no  funciono  durante 
varias  horas  debido  a  que  un  router,  por  error  en  su  configuracion,  se  anuncio  el  mismo 
a  todos  en  Internet  como  el  camino  mas  rapido  para  acceder  a  otras  direcciones.  Esto 
causo  que  todas  las  peticiones  intentaran  utilizar  este  servidor,  provocando  el  colapso  de 
la  red. 


_  En  2002  se  superan  los  40.000  suscritos  directamente  por  correo  a  una-al-dia.  En  2008  son  mas 
de  35.000  los  suscritos  directamente  por  correo  y  se  diversifican  las  fuentes  de  lectura  con  canales 
alternativos  como  el  RSS. 

_  En  diciembre,  eBay,  la  mayor  casa  de  subastas  del  mundo,  comunica  que  sus  55  millones  de  clientes  esta 
en  el  punto  de  mira  de  un  espectacular  fraude  al  que  todavia  no  se  le  daria  el  nombre  de  “phishing”.  En 
2008,  eBay  y  PayPal  siguen  siendo  las  favoritas  indiscutibles  de  este  tipo  de  estafas. 

_  Tras  mas  de  5  anos  sin  cambios,  se  publica  una  actualizacion  de  la  zona  raiz  del  sistema  DNS. 


Una  al  dia 


01/01/2002  Gusanos  de  Internet:  pasado,  presente  y  futuro  (III) 

En  la  ultima  entrega  de  esta  trilogia  sobre  gusanos  de  Internet  vamos  a  abordar  que  nos  puede  deparar 
el  futuro  mas  inmediato  en  el  terreno  de  los  codigos  viricos.  Hablar  de  futuro  en  el  mundillo  de  los  virus 
supone  un  ejercicio  de  responsabilidad,  ya  no  tanto  por  el  grado  de  acierto  que  se  pueda  tener,  de  cara 
a  la  galena,  entre  las  ideas  expuestas  y  lo  que  finalmente  suceda,  sino  por  la  posibilidad  de  que  algun 
comentario  resulte  ser  original  y  se  convierta  en  la  semilla  de  algun  nuevo  virus. 

En  este  sentido  recuerdo  que  deje  de  escribir  un  articulo,  durante  los  primeros  anos  de  Windows  95  y  la 
generalization  de  Internet,  sobre  el  peligro  que  entranaria  el  desarrollo  de  un  gusano  que  explotara  la 
comparticion  de  recursos  aprovechando  que  Windows  95  “montaba”  por  defecto  NetBIOS  sobre  TCP/IP. 
El  resultado  era  que  las  maquinas  que  compartian  sus  recursos  en  una  red  local,  como  puede  ser  un  disco 
duro,  tambien  lo  hacian  automaticamente  para  cualquier  usuario  de  Internet. 

Por  aquel  entonces  era  un  agujero  de  seguridad  muy  generalizado,  que  Microsoft  nunca  reconocio  como 
tal  y  por  tanto  no  existia  aviso  ni  parche  oficial,  de  forma  que  escanear  de  forma  arbitraria  una  clase  C  en 
Internet  devolvia  la  mayoria  de  las  veces  algunas  maquinas  con  este  grave  problema  donde  no  faltaban  las 
que  compartian  todo  el  disco  duro.  Que  el  gusano  realizara  una  copia  de  si  mismo  en  la  carpeta  de  Inicio 
de  Windows  en  el  disco  duro  remoto  no  era  empresa  dificil,  de  forma  que  la  proxima  vez  que  se  iniciara 
Windows  el  virus  se  ejecutaria  automaticamente  y  procederia  a  buscar  nuevas  victimas  una  vez  conectado 
a  Internet.  Por  fortuna,  nunca  sabremos  el  impacto  que  un  gusano  de  este  tipo  pudo  haber  causado  en 
aquellas  circunstancias. 
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La  verdad  es  que  aquellos  anos  los  creadores  de  virus  estaban  mas  ocupados  investigando  a  fondo  los 
entresijos  de  Windows  95  para  poder  crear  virus  compatibles  con  el  nuevo  sistema  y  formato  de  ejecutables. 
Se  abria  un  periodo  de  adaptation  para  trasladar  y  adaptar  todas  las  tecnicas  que  habian  venido  utilizando 
hasta  la  fecha  en  la  antigua  escuela  aprovechando  todo  los  recovecos  del  DOS.  No  perdieron  el  tiempo,  la 
innovation  en  el  terreno  de  los  virus  Win32  ha  sido  constante,  con  la  incorporation  de  nuevas  tecnicas  que 
nunca  llegamos  a  imaginar. 

De  un  modo  u  otro,  lo  que  esta  claro  es  que  Microsoft  juega  un  papel  fundamental  en  el  terreno  de  los  virus 
informaticos.  Dejando  a  un  lado  que  por  diseno  sus  sistemas  sean  mas  o  menos  seguros  y  que  faciliten  en 
parte  la  vida  a  los  virus,  su  importancia  viene  de  la  position  predominante  que  ocupa  en  el  mercado  de 
los  sistemas  operativos,  aplastante  en  el  caso  de  los  usuarios  domesticos  y  puestos  clientes.  Si  el  fin  de  un 
virus  es  sobrevivir  y  reproducirse  al  maximo,  lo  normal  es  que  se  disene  para  que  pueda  afectar  al  mayor 
numero  de  victimas  posibles,  y  hoy  dia  en  el  caso  de  la  informatica  eso  se  traduce  en  la  compatibilidad  con 
Windows  y  productos  Microsoft. 

Ademas  de  los  virus  para  DOS  y  la  nueva  generation  Windows  ya  comentada,  la  historia  deja  claro  que 
la  aparicion  de  nuevas  clases  o  familias  de  virus  se  basa  en  los  nuevos  productos  o  tecnologias  Microsoft. 
Si  con  Office  asistimos  al  nacimiento  de  la  plaga  de  los  virus  de  macro,  con  gusanos  como  “Melissa”,  la 
incorporation  por  defecto  del  interprete  Windows  Scripting  Host  en  Windows  98  y  posteriores  nos  trajo 
el  aluvion  de  gusanos  escritos  en  Visual  Basic  Script  (VBS),  como  “ILoveYou”  y  compania. 

Visto  esto,  para  hablar  de  futuro  en  el  mundo  de  los  virus  informaticos,  que  mejor  que  darse  una  vuelta  por 
la  web  de  Microsoft  para  ver  las  nuevas  tecnologias  y  productos  que  con  casi  total  seguridad  terminaran 
implantandose  de  forma  global. 

Tanto  si  visitamos  www.microsoft.com,  como  si  somos  asiduos  a  las  noticias  de  tecnologia,  veremos  que 
Microsoft  ha  puesto  mucho  hincapie  en  introducirnos  a  su  nueva  tecnologia  .NET,  que  se  hara  notar  tanto 
en  los  sistemas  operativos  como  en  las  aplicaciones.  .NET  nos  abrira  la  puerta  a  la  informatica  distribuida 
con  nuevas  funcionalidades  que  facilitaran  la  conexion  de  componentes  a  traves  de  redes,  un  ambiente  que 
a  buen  seguro  aprovecharan  los  creadores  de  virus. 

Si  profundizamos  en  .NET,  en  lo  que  desarrollo  se  refiere,  podemos  ver  nuevos  conceptos  como  el 
Common  Language  Runtime,  un  modelo  que  busca  integrar  el  codigo  generado  por  los  compiladores  de 
manera  independiente  al  lenguaje  utilizado.  Para  lograrlo  aparece  un  nuevo  lenguaje  y  su  correspondiente 
formato  de  archivo,  Microsoft  intermediate  language  (MSIL),  que  ademas  amenaza  con  que  su  codigo  es 
independiente  al  juego  de  instrucciones  de  la  CPU,  en  su  busqueda  por  convertirse  en  un  estandar  que 
termine  por  implantarse  tambien  en  otras  plataformas.  El  sueno  de  cualquier  creador  de  virus,  un  formato 
que  le  permita  de  forma  facil  disenar  gusanos  multiplataforma. 

En  futuras  entregas,  fuera  de  esta  trilogia,  abordaremos  algunas  funcionalidades  y  caracteristicas  de  .NET 
y  las  implicaciones  que  pueda  tener  en  la  seguridad  de  nuestros  sistemas.  De  momento  nos  quedamos 
con  .NET  y  MSIL  (Microsoft  intermediate  language)  como  candidates  a  caldo  de  cultivo  para  una  nueva 
generation  de  virus  y  gusanos. 


Bernardo  Quintero 
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04/04/2002  La  trastienda  del  “full  disclosure” 

Las  ultimas  vulnerabilidades  publicadas  por  Guninski,  antes  de  que  Microsoft  proporcione  los 
correspondientes  parches,  reaviva  el  recurrente  y  cansino  debate  sobre  la  divulgation  total  en  materia  de 
seguridad  informatica  (“full  disclosure”). 

Posturas  iniciales 

A  grandes  rasgos  la  discusion  se  presenta  bastante  simple  y  obvia,  al  menos  en  su  vertiente  de  cara  a  la 
galena.  Por  un  lado  nos  encontramos  con  las  casas  de  software,  que  argumentan  que  la  publicacion  de 
detalles  sobre  nuevas  vulnerabilidades  es  contraproducente  para  la  seguridad,  ya  que  facilita  la  labor  a  los 
potenciales  atacantes. 

En  frente,  investigadores  independientes,  criptologos,  hackers  y  grupos  de  seguridad  informatica,  entre 
otros,  que  consideran  que  la  information  debe  ser  libre  y  divulgada  a  la  opinion  publica.  Bajo  su  prisma, 
el  conocimiento  permite  establecer  defensas  contra  unos  ataques  cuyos  detalles  circularian  en  cualquier 
caso  entre  los  atacantes,  puesto  que  el  “underground”  mantiene  canales  de  comunicacion  sobre  los  que  no 
es  posible  ejercer  ningun  tipo  de  control. 

Situation  actual 

Existe  un  codigo  no  escrito  de  buenas  maneras  que  establece  que,  antes  de  realizar  cualquier  aviso 
publico,  el  hacker  0  investigador  debe  poner  en  sobreaviso  a  la  empresa  afectada,  proporcionandole  todos 
los  detalles  sobre  las  vulnerabilidades  que  ha  descubierto  en  cualquiera  de  sus  productos  y,  en  la  medida 
de  lo  posible,  ayudando  en  su  resolution. 

Esta  regia  suele  cumplirse  en  la  inmensa  mayoria  de  los  casos,  si  bien  no  esta  exenta  de  problemas  y 
contratiempos.  En  ocasiones  resulta  toda  una  odisea  poder,  simplemente,  hacer  llegar  la  information  a 
la  persona  adecuada  y/o  recibir  un  acuse  de  recibo.  Por  contra,  y  a  favor  de  las  empresas,  hay  que  decir 
que  algunas  cuentan  con  direcciones  y  personal  dedicado  exclusivamente  a  este  menester,  como  es  el  caso 
de  Microsoft.  En  otros  casos,  aun  habiendo  existido  contacto  entre  descubridor  de  la  vulnerabilidad  y 
desarrollador  afectado,  no  hay  un  acuerdo  en  la  importancia  del  problema  o  en  la  urgencia  y  tiempos  de 
resolution  que  requiere. 

Este  tipo  de  contratiempos  suelen  acabar  con  la  publicacion  prematura  de  los  detalles  de  las  vulnerabilidades 
y  medidas  preventivas  de  caracter  urgente  propuestas  por  el  descubridor,  antes  de  que  los  desarrolladores 
hayan  facilitado  un  parche  o  aviso  oficial. 

En  estos  casos  el  descubridor  argumenta  que  se  ha  visto  obligado  a  la  publicacion  para  poner  en  aviso  a 
los  usuarios  afectados  ante  un  problema  que  considera  puede  afectarles,  a  la  vez  que  espera  que  la  presion 
publica  fuerce  a  la  empresa  a  una  rapida  actuation  y  resolution  de  la  vulnerabilidad. 

Por  su  parte,  los  desarrolladores  se  quejan  de  que  el  proceso  de  analisis  de  la  vulnerabilidad,  diseno  del 
parche,  y  posteriores  comprobaciones  y  tests  de  calidad,  no  es  tarea  facil  y  requiere  mas  tiempo,  de  cara  a 
facilitar  al  usuario  final  una  solution  fiable  y  segura. 

Lo  que  la  verdad  esconde 

Como  vemos,  tanto  unos  como  otros,  utilizan  como  excusa  de  sus  argumentos  la  seguridad  del  usuario. 
Parece  ilogico  que  teniendo  un  mismo  fin  no  se  pongan  de  acuerdo.  En  realidad,  como  cabe  pensar,  existen 
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otros  intereses  mas  partidistas  y  lucrativos  en  juego. 

La  imagen,  y  todo  lo  que  se  deriva  de  ella,  es  realmente  uno  de  los  principals  factores  que  originan 
el  debate  “full  disclosure”.  El  anuncio  publico  de  una  nueva  vulnerabilidad,  con  sus  respectivos  ecos  en 
sitios  especializados  y,  cada  vez  mas,  en  otros  medios  de  comunicacion,  lleva  consigo  un  aumento  de 
popularidad  y  publicidad  para  el  descubridor,  mientras  que  para  la  empresa  supone  un  duro  varapalo 
para  su  producto  e  imagen  corporativa.  En  algunos  casos  concretos  cabe  pensar  que  este  es  el  interes  que 
prima,  de  otro  modo  costaria  entender  determinadas  actitudes  por  ambas  partes. 

iQue  option  es  la  correcta? 

En  mi  opinion  personal,  si  buscamos  la  seguridad  de  los  posibles  usuarios  afectados,  no  existe  una  unica 
via  de  actuation,  no  hay  que  se  extremistas  en  uno  u  otro  sentido. 

Por  ejemplo,  pasando  por  avisar  en  primer  lugar  a  la  empresa  del  producto  vulnerable,  tal  vez  creamos 
conveniente  dar  un  aviso  con  algunas  indicaciones  para  que  los  usuarios  puedan  tomar  medidas 
preventivas  mientras  se  desarrolla  el  parche,  si  bien  no  tiene  mucha  razon  de  ser  dar  todos  los  detalles  de 
forma  explicita  o  adjuntar  codigo  de  ejemplo  durante  esta  fase. 

Los  problemas  se  presentan  bien  cuando  el  descubridor  lanza  los  detalles  sin  avisar  a  la  empresa,  bien  si  la 
empresa  hace  caso  omiso  del  aviso  o  no  presta  la  atencion  que  la  vulnerabilidad  se  merece.  En  condiciones 
normales,  si  existe  animo  de  cooperation  por  ambas  partes,  no  tienen  porque  existir  conflictos  de 
intereses. 


Bernardo  Quintero 


25/04/2002  olnfectado  por  “Klez.x”?  Hora  de  cambiar  de  antivirus 

La  ultima  variante  del  gusano  “Klez”  esta  causando  furor  desde  la  semana  pasada,  alcanzando  unas  cifras 
de  infecciones  muy  significativas.  Antes  de  que  viera  la  luz  esta  nueva  version  ya  existian  tecnicas  para 
detectarlo  de  forma  generica,  sin  necesidad  de  actualizaciones  de  ultima  hora.  Si  aun  teniendo  un  antivirus 
se  vio  infectado  por  “Klez.x”  de  forma  automatica,  tal  vez  sea  hora  de  plantearse  un  cambio  de  producto. 
Puede  llamar  la  atencion  de  algunos  lectores  la  “x”  que  he  utilizado  en  el  “apellido”  de  esta  version  de 
“Klez”,  pero  ante  la  diversidad  de  criterio  de  las  casas  antivirus,  en  lo  que  a  nomenclatura  se  refiere,  he 
preferido  no  decantarme  por  ninguna  de  las  letras  utilizadas.  Es  decir,  cambie  la  “x”  por  “G”,  “H”,  “I”  o  “K”, 
al  fin  y  al  cabo,  el  nombre  es  lo  de  menos. 

Aunque  a  dia  de  hoy  cualquier  antivirus  actualizado  lo  detecta,  no  sucedio  lo  mismo  en  los  primeros 
momentos  de  propagation,  como  suele  ocurrir  cuando  aparece  un  virus  de  nueva  creation  o  variante. 
Dejando  a  un  lado  la  detection  heuristica,  capaz  de  lo  mejor  y  lo  peor,  existe  una  forma  muy  facil  de 
reconocer  e  impedir  la  action  de  este  tipo  de  gusanos. 

?Que  tienen  en  comun,  entre  otros,  gusanos  tan  extendidos  como  BadTrans,  Nimda  o  el  propio  Klez.x? 
Todos  aprovechan  vulnerabilidades  para  forzar  la  ejecucion,  y  por  tanto  infection,  automatica,  sin 
necesidad  de  que  el  usuario  abra  o  ejecute  un  archivo,  sin  duda  la  caracteristica  que  los  ha  dotado  de 
mayor  poder  de  propagation. 
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Mas  curioso  aun  resulta  que  los  tres  gusanos  nombrados,  protagonistas  de  verdaderas  epidemias,  explotan 
la  misma  vulnerabilidad  para  forzar  la  ejecucion  automatica  en  el  cliente  de  correo  Outlook  Express 
(Nimda,  ademas  de  esta,  aprovecha  otras  vulnerabilidades  para  infectar  servidores  IIS). 

La  cosa  se  agrava  si  tenemos  en  cuenta  que  la  vulnerabilidad  en  cuestion  data  de  marzo  de  2001,  y  que  es 
muy  facil  de  detectar  analizando  el  mensaje  de  correo  electronico.  Basta  con  mirar  si  una  cabecera  MIME 
hace  referenda  a  un  programa  ejecutable  que  Simula  ser  un  formato  confiable,  por  ejemplo  un  archivo  de 
audio. 

Aunque  para  los  menos  iniciados  pueda  sonar  complicado,  vamos  a  ver  algunos  ejemplos  reales  de  las 
cabeceras  utilizadas  por  estos  gusanos  para  comprobar  los  elementos  comunes,  lo  que  convierte  en  trivial 
su  deteccion  por  cualquier  antivirus  para  clientes,  e  incluso  a  traves  de  un  sencillo  filtro  en  el  servidor  de 
correo: 

BadTrans->  Content-Type:  audio/x-wav; 
name=”news_doc.DOC.scr” 

Nimda->  Content-Type:  audio/x-wav; 
name=”readme.exe” 

Klez.x  ->  Content-Type:  audio/x-wav; 
name=200).exe 

En  definitiva,  desde  marzo  de  2001  todos  los  antivirus  podrian  haber  detectado  de  forma  generica 
cualquier  e-mail  donde  viaje  un  gusano  que  intenta  explotar  esta  vulnerabilidad  del  Outlook  Express, 
para  lograr  la  ejecucion  de  forma  automatica.  Lo  facil  de  su  deteccion  y  lo  crucial  que  resulta  para  la 
seguridad  del  usuario  convierten  a  este  tipo  de  deteccion  de  ataques  o  “exploits”  en  un  requisito  exigible  e 
imprescindible  en  un  buen  antivirus. 

Hay  que  decir  que  algun  que  otro  antivirus  ya  cuentan  con  este  tipo  de  detecciones,  solo  cabe  esperar  que 
no  detecten  esta  noticia  como  un  gusano  0  intento  de  exploit  por  contener  los  anteriores  ejemplos.  Si  bien, 
dejaremos  la  problematica  de  los  falsos  positivos  para  otra  entrega. 


Bernardo  Quintero 


15/05/2002  “Spam”  para  robar  datos  sensibles 

Todos  los  usuarios  de  Internet  hemos  recibido  en  alguna  ocasion  mensajes  de  correo  electronico  no 
solicitados  de  alguien  que  no  conociamos,  la  mayoria  de  las  veces  con  anuncios  y  publicidad.  Este  tipo  de 
mensajes  enviados  de  forma  masiva  e  indiscriminada  es  lo  que  denominamos  “correo  basura”  0  “spam”. 
En  los  ultimos  tiempos  hemos  podido  observar  como  prolifera  esta  via  para  hacer  llegar  mensajes  que, 
mediante  enganos,  tratan  de  robar  information  sensible  del  usuario,  como  contraseiias  y  datos  de  tarjetas 
de  credito. 

Curiosidades 

Debemos  retroceder  a  1926  para  encontrar  el  termino  “Spam”,  que  en  su  origen  hacia  referencia  al 
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jamon  con  especias  (Spiced  Ham)  de  la  casa  Hormel,  primer  producto  de  carne  enlatada  que  no  requeria 
refrigeration.  Esta  caracteristica  convirtio  al  “Spam”  en  un  producto  muy  extendido,  que  podia  encontrarse 
en  cualquier  parte. 

Ademas  de  ser  utilizado  en  la  segunda  guerra  mundial  por  los  ejercitos  como  parte  imprescindible  de  los 
viveres,  el  “Spam”  solia  acompanar  a  cualquier  plato  de  la  cocina  americana  de  la  epoca.  La  popularidad 
que  ha  alcanzado  este  producto  es  tal  que  hoy  dia  podemos  visitar  hasta  su  propio  museo.  El  uso  masivo 
que  se  hacia  del  “Spam”,  que  podia  encontrarse  practicamente  en  cualquier  sitio,  puede  ser  la  razon  por  la 
que  se  ha  utilizado  este  termino  para  calificar  el  envio  de  correo  indiscriminado  a  traves  de  Internet. 

Tambien  basandose  en  el  producto  de  carne  enlatada,  algunos  defienden  que  el  uso  del  termino  “spam” 
para  calificar  al  correo  basura  se  popularizo  a  raiz  de  una  obra  de  los  britanicos  Monthy  Phyton  en  una 
escena  en  la  que  en  un  restaurante  todos  los  platos  eran  acompanados  por  “spam”.  Otra  teoria  alternativa 
afirma  que  el  termino  SPAM  es  el  acronimo  de  “Stuff  Posing  As  Mail”,  traducido  como  “mentira  que  se 
presenta  como  correo”. 

En  el  ataque 

La  versatilidad  del  correo  electronico  a  traves  de  Internet,  como  toda  tecnologia,  puede  utilizarse  con 
distintos  fines.  Hace  apenas  una  semana  se  ha  distribuido  un  “spam”  masivo  que  bajo  el  asunto  “An 
Urgent  notice  from  eBay  Safe  Harbor  !”,  simulaba  ser  un  aviso  a  los  usuarios  registrados  del  popular  sitio 
eBay.  El  mensaje  fraudulento  notifica  que  los  datos  de  nuestra  cuenta  de  eBay  deben  ser  actualizados  por 
encontrarse  erroneos  o  corruptos,  para  lo  cual  facilita  un  enlace  a  un  formulario  web  que  deberemos 
rellenar  para  que  no  se  nos  interrumpa  el  servicio. 

Para  darle  mas  credibilidad,  la  direction  de  remite  aparece  como  “Safe  Harbor”  &lt;SafeHarbor@eBay. 
com&gt;,  mientras  que  a  lo  largo  del  mensaje  hace  referencia  a  que  se  utiliza  SSL  para  que  los  datos 
transferidos  viajen  de  forma  segura,  asi  como  todo  tipo  de  garantias  sobre  privacidad  avalada  por  terceros. 
Una  vez  llegamos  al  formulario,  mediante  una  URL  encabezada  por  la  IP  del  servidor,  para  intentar  ocultar 
que  el  dominio  no  pertenece  en  realidad  a  eBay,  nos  encontramos  con  el  citado  formulario  que  Simula  el 
interfaz  de  eBay  (logos,  etc). 

Por  descontado,  toda  la  information  que  se  introduzca  llegara  a  las  manos  del  atacante,  que  podra  utilizarla 
para  suplantar  la  identidad  de  los  usuarios  de  eBay  o  realizar  compras  en  otros  sitios  con  los  datos  de  sus 
tarjetas  de  credito. 


Bernardo  Quintero 


24/07/2002  Certificaciones  antivirus  obsoletas 

Ancladas  en  el  pasado,  las  principals  certificaciones  antivirus  como  ICSALabs,  Checkmark  o  VB  100%, 
no  se  ajustan  a  las  necesidades  actuales  de  los  usuarios  ni  evaluan  en  su  justa  medida  la  realidad  de  las 
soluciones  antivirus  de  hoy  dia.  Sus  logotipos  suelen  ocupar  contraportada  de  las  cajas  de  productos  y 
aparecen  en  las  webs  de  las  casas  antivirus  como  galardones  que,  supuestamente,  certifican  la  calidad  de 
sus  soluciones.  Si  nos  adentramos  un  poco  en  sus  especificaciones  encontramos  que  los  tests  son  pobres 
y  se  centran  principalmente  en  los  porcentajes  de  detection,  y  en  el  mejor  de  los  casos  desinfeccion,  sobre 
colecciones  de  muestras  conocidas. 
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Con  la  explosion  del  fenomeno  Internet,  y  las  implicaciones  que  todos  conocemos  en  el  mundo  de  los  virus 
informaticos,  sobre  todo  a  modo  de  i-worms,  el  modelo  reactivo  de  los  antivirus  tradicionales,  basados  en 
ofrecer  vacunas  despues  de  haber  detectado  un  especimen  nuevo,  deja  de  ser  una  solucion  efectiva. 

En  el  tiempo  en  que  se  detecta  un  virus  nuevo,  es  analizado  por  el  laboratorio  antivirus,  desarrollan  la 
vacuna,  la  solucion  pasa  el  control  de  calidad  interno,  ponen  la  nueva  firma  de  deteccion  a  disposition  de 
los  usuarios  y  estos  se  actualizan,  un  gusano  de  Internet  o  i-worm  puede  haber  infectado  miles  y  miles 
de  sistemas.  No  hay  que  incidir  mucho  en  esta  cuestion,  basta  con  nombrar  a  “Melissa”,  “ILoveYou”, 
“Kournikova”,  “Nimda”,  “BadTrans”,  “Sircam”  o  “Klez”,  entre  otros  muchos. 

En  este  punto  alguien  podria  preguntar  por  las  heuristicas  actuales,  ya  que  supuestamente,  o  al  menos  asi 
se  venden,  son  las  tecnologias  encargadas  de  detectar  nuevos  virus.  Queda  claro  por  la  experiencia  que  no 
son  efectivas,  de  lo  contrario  no  tendriamos  que  recordar  para  nada  los  nombres  de  especimenes  antes 
comentados. 

Las  heuristicas,  en  realidad,  son  tambien  detecciones  basadas  en  firmas,  pero  que  buscan  porciones  de 
codigo  mas  genericas  en  vez  de  la  cadena  concreta  que  identifica  a  un  virus  en  particular.  El  diseno  de 
un  virus  nuevo,  o  la  ofuscacion  a  nivel  de  codigo  de  uno  ya  existente,  burla  de  forma  trivial  este  tipo  de 
deteccion.  Una  pequeha  prueba  de  concepto  se  pudo  ver  el  pasado  junio  durante  las  jornadas  de  seguridad 
de  e-Gallaecia,  donde  mi  companero  Jesus  Cea  y  yo  expusimos  sobre  las  debilidades  de  las  soluciones 
antivirus  actuales.  El  simple  uso  de  variables  intermedias,  en  un  gusano  escrito  en  Visual  Basic  Script 
de  apenas  20  lineas  de  codigo,  logro  veneer  a  las  heuristicas  de  los  principales  productos  antivirus  del 
mercado. 

El  futuro,  que  ya  deberia  ser  presente,  pasa  claramente  por  la  implantation  de  tecnologias  proactivas 
capaces  de  ofrecer  al  usuario  sistemas  de  protection  contra  virus  nuevos  sin  necesidad  de  recurrir  a 
continuas  actualizaciones.  Claro  esta  que  no  es  la  panacea,  no  acabara  con  la  problematica  de  los  virus,  y 
seguiran  siendo  necesarias  las  actualizaciones  puntuales,  pero  la  capacidad  de  prevention  de  las  soluciones 
antivirus  aumentara  drasticamente  y  el  usuario  dejara  de  tener  la  sensation  de  indefension  total  durante 
las  primeras  horas  de  propagation  de  un  virus  nuevo. 

Las  buenas  noticias  son  que  algunas  casas  antivirus,  bien  por  exigencias  del  mercado,  bien  por 
convencimiento  propio  o  como  ventaja  competitiva,  ya  comienzan  a  implantar  funcionalidades  proactivas 
que  van  mas  alia  del  antivirus  tradicional  que  todos  conocemos. 

Volviendo  al  titular  que  nos  ocupa,  el  problema  es  que  estas  nuevas  tecnologias  no  son  evaluadas  por  las 
certificaciones  actuales,  cuyas  metodologias  solo  se  centran  en  la  deteccion  a  nivel  de  codigo.  El  resultado 
es  que  hoy  dia  algunos  productos  antivirus  pueden  llegar  a  ser  incluso  penalizados  en  este  tipo  de 
evaluaciones,  cuando  en  realidad  el  nivel  de  protection  que  ofrecen  es  muy  superior  al  de  otras  soluciones 
que  simplemente,  al  igual  que  las  certificaciones,  se  han  quedado  ancladas  en  el  pasado. 

Bernardo  Quintero 


13/08/2002  Antivirus  corporativo:  dos  (diferentes)  mejor  que  uno 

Aunque  el  titular  parece  obvio,  “dos  mejor  que  uno”,  la  realidad  es  que  la  mayoria  de  las  corporaciones 
terminan  instalando  en  sus  sistemas,  tanto  servidores  perimetrales  como  estaciones  de  trabajo,  la  misma 
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marca  antivirus,  lo  que  penaliza  la  capacidad  de  detection.  Desde  Hispasec  Sistemas,  en  nuestra  faceta 
de  consultores  y  de  manera  independiente  a  la  publication  de  la  comparativa  antivirus  anual  para  PCs, 
realizamos  analisis  a  demanda  de  cara  a  presentar  proyectos  sobre  la  implantacion  idonea  de  soluciones 
antivirus  segun  un  determinado  entorno  corporativo.  Desde  esta  experiencia,  y  en  virtud  de  la  situation 
de  partida  con  la  que  nos  encontramos  en  cada  caso,  hemos  podido  observar  que  la  mayoria  de  las 
corporaciones  suelen  contratar  con  una  sola  casa  antivirus  la  protection  de  todos  sus  sistemas.  Situation 
que  solemos  corregir. 

Aunque  las  casas  antivirus  suelen  tener  una  amplia  gama  de  soluciones  segun  el  puesto  a  proteger,  la 
realidad  es  que  todos  sus  productos  comparten  el  mismo  motor  antivirus  y  base  de  datos  de  firmas. 
Es  decir,  si  instalamos  en  el  firewall,  el  proxy,  el  servidor  de  correo,  en  el  servidor  de  ficheros,  y  en  las 
estaciones  de  trabajo  el  antivirus  de  la  marca  X,  habremos  aumentado  cuantitativamente  el  numero 
de  chequeos,  pero  no  su  calidad. 

Imaginemos  que  queremos  proteger  un  edificio  y  situamos  un  guarda  jurado  o  personal  de  seguridad 
en  la  puerta  del  garaje,  otro  en  la  entrada  del  edificio,  uno  mas  en  la  puerta  de  los  ascensores,  y  por 
ultimo  repartimos  varios  guardas  en  la  puerta  de  cada  una  de  las  oficinas.  Todos  se  han  formado  de  la 
misma  forma  y  siguen  las  mismas  pautas  de  actuation,  ademas  todos  tienen  la  misma  lista  de  intrusos 
sospechosos  basandonos  en  fotografias  de  sus  rostros. 

Cada  persona  que  quiere  acceder  al  edificio  es  examinada  por  varios  de  los  guardas  dependiendo  de  la  via 
de  entrada  que  utilice,  pero  en  todos  los  casos  la  comprobacion  es  la  misma.  Si  un  intruso  no  aparece  en  la 
lista  de  sospechosos,  podra  burlar  a  todos  los  guardas  de  manera  independiente  a  la  via  que  haya  elegido 
para  entrar  (virus  nuevo  no  reconocido). 

Otro  caso  que  puede  darse  es  que  un  intruso  ya  fichado  intente  disfrazarse  para  burlar  a  los  agentes.  Si 
todos  los  agentes  siguen  las  mismas  tecnicas  de  reconocimiento  (motor  antivirus),  como  por  ejemplo  pedir 
que  se  quiten  las  gafas  de  sol  en  caso  de  duda,  el  intruso  podra  pasar  inadvertido  empleando  otras  tecnicas 
de  camuflaje,  por  ejemplo  utilizar  una  peluca  (variante  o  nueva  version  de  un  virus  conocido). 

Parece  obvio  que  lo  ideal  seria  contar  con  varias  listas  de  sospechosos  y  guardas  con  diferentes  capacidades 
y  metodos  de  reconocimiento  de  forma  que  se  puedan  complementar  entre  si,  aumentando  el  grado  de 
protection  global.  Siguiendo  la  analogia  con  los  antivirus,  cada  motor  tiene  sus  caracteristicas  y  bases  de 
datos  de  firmas  diferentes  que  se  actualizan  de  manera  independiente. 

La  realidad  es  que  no  basta  simplemente  con  incluir  mas  de  un  motor  antivirus,  ya  que  se  hace  necesario 
un  estudio  sobre  el  grado  de  complementariedad  entre  los  distintos  motores,  el  rendimiento  y  estabilidad 
que  ofrecen  segun  el  puesto  de  la  red,  y  facilitar  la  gestion  y  administration  centralizada  de  los  productos 
elegidos  segun  la  casuistica. 


Bernardo  Quintero 


31/10/2002  Comentarios  sobre  los  antivirus  perimetrales 

Siendo  el  correo  electronico  el  principal  medio  de  propagation  e  infection  de  virus  informaticos  y  gusanos, 
parece  logica  la  implantacion  de  sistemas  antivirus  a  nivel  de  servidores  de  correo,  asi  como  en  otros 
puntos  criticos  de  la  red,  por  ejemplo  un  proxy,  por  donde  se  canalizan  las  conexiones  de  los  usuarios 
corporativos  a  Internet. 
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No  obstante  la  implantacion  de  estos  sistemas  antivirus  no  esta  exenta  de  problemas,  en  especial  a  nivel 
de  rendimiento  cuando  se  trata  de  servidores  que  manejan  un  gran  volumen  de  trafico.  Si  un  usuario  es 
capaz  de  notar  que  su  PC  se  enlentece  o  se  vuelve  inestable  al  instalar  determinado  producto  antivirus,  el 
caso  se  complica  aun  mas  cuando  hablamos  de  un  servicio  tan  critico  para  la  empresa  como  es  el  correo 
electronico.  Abuen  seguro  son  muchos  los  sufridos  administradores  de  sistemas  los  que  pueden  contarnos 
mas  de  una  batallita  en  este  sentido. 

Para  contrarrestar  este  tipo  de  efectos,  o  como  causa  de  ellos,  algunos  sistemas  antivirus  hace  dejacion 
de  sus  funciones.  Asi,  por  ejemplo,  en  algunos  casos  nos  hemos  podido  encontrar  con  sistemas  que  dejan 
de  analizar  mensajes  de  forma  arbitraria  cuando  hay  mucha  carga  de  trabajo,  o  aquellos  otros  que  para 
aumentar  su  velocidad  de  analisis  no  soportan  ciertos  formatos  de  empaquetado  o  la  mayoria  de  formatos 
de  compresion,  lo  que  abre  en  ambos  casos  una  ventana  a  la  entrada  de  e-mails  infectados. 

Aunque  los  avances  son  constantes  en  este  terreno,  siendo  muchos  los  servidores  de  correo  que  ya 
incorporan  interfaces  especificos  para  facilitar  la  funcion  a  los  antivirus,  la  propia  naturaleza  de  los 
antivirus  los  penaliza.  Esto  es  asi  ya  que  cada  dia  que  pasa  aumenta  la  base  de  datos  de  firmas  que  tienen 
que  contrastar  para  identificar  a  los  virus,  asi  como  aumenta  las  formas  y  formatos  en  que  estos  pueden 
ocultarse  y  presentarse. 

Tambien  por  la  propia  funcionalidad  de  los  virus  y  gusanos  tradicionales  (dejando  a  un  lado  los  gusanos 
para  servidores  web  y  similares),  la  capacidad  de  detection  los  antivirus,  sobre  todo  a  nivel  de  heuristica 
y  proactividad,  siempre  sera  menor  en  un  servidor  perimetral  que  en  una  estacion  de  trabajo  o  PC.  No  en 
vano,  el  servidor  perimetral  no  deja  de  ser  un  punto  de  transito  para  el  virus,  mientras  que  se  desenmascara 
y  procede  a  la  infection  y  resto  de  acciones  en  la  estacion  de  trabajo,  por  lo  que  es  mas  facil  detectarlo  en 
esta  ultima. 

Para  terminar  de  poner  trabas  a  los  antivirus  perimetrales,  tampoco  hay  que  pasar  por  alto  que  son 
muchos  los  casos  donde  se  instala  la  misma  marca  de  antivirus  en  todos  los  puntos  de  la  red,  tanto  en 
servidores  perimetrales  como  en  las  estaciones  de  trabajo,  fruto  de  “paquetes  oferta”  o  recomendaciones 
del  distribuidor.  En  estos  casos  se  esta  multiplicando  el  numero  de  analisis  que  se  realizan  sobre  los 
contenidos  que  llegan  a  la  empresa,  pero  no  su  calidad,  ya  que  las  soluciones  de  la  misma  marca  comparten 
el  fichero  de  firmas  de  virus  reconocidos.  Si  un  virus  es  identificado  en  el  servidor  de  correo,  tambien  lo 
seria  en  la  estacion  de  trabajo,  y  si  burla  uno  de  los  puntos  probablemente  lo  hara  con  el  resto.  (Antivirus 
corporativo:  dos  (diferentes)  mejor  que  uno.  http://www.hispasec.com/unaaldia.asp?id=i388). 

Llegados  a  este  punto  hay  que  decir  que  las  soluciones  antivirus  perimetrales  son  recomendables,  se  trata 
de  una  capa  mas  de  protection.  Aunque  queda  claro  que  estan  lejos  de  ser  la  panacea,  y  que  su  implantacion 
requiere  un  analisis  concienzudo  que  comprenda  una  comparativa  de  productos  con  diversos  tests  sobre 
la  casuistica  particular  del  entorno  corporativo  donde  se  ha  de  instalar.  En  algunos  casos  especiales  su 
instalacion  puede  ser  no  recomendable,  y  en  su  lugar  sera  mas  facil  y  adecuado,  y  no  por  ello  menos 
efectivo,  implantar  una  politica  especial  de  filtros  a  nivel  de  contenidos. 

Por  ultimo,  recomendamos  que  su  implantacion  sea  transparente  al  usuario  y  que  se  haga  hincapie  en  la 
necesidad  de  no  bajar  la  guardia  a  nivel  de  estaciones  de  trabajo,  ya  que  en  muchas  ocasiones  el  saber  que 
existe  un  antivirus  perimetral  puede  crear  una  falsa  sensation  de  seguridad,  que  conlleva  el  descuidar  las 
practicas  mas  basicas  de  prevention. 


Bernardo  Quintero 
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11/11/2002  Certificaciones  de  productos,  tgarantia  de  seguridad  o  marketing? 

La  reciente  certification  “Common  Criteria”  otorgada  a  Windows  2000  desata  la  polemica  sobre  cual  es  el 
alcance  real  de  estos  galardones  sobre  la  seguridad  final  de  los  usuarios. 

Las  certificaciones,  basicamente,  son  un  procedimiento  por  el  cual  una  parte,  en  principio  imparcial, 
asegura  que  un  producto,  proceso  0  servicio  cumple  con  una  serie  de  puntos  bien  definidos.  Partiendo  de 
esta  base  los  beneficiarios  de  esa  certification  serian  tanto  los  proveedores,  como  demostracion  ante 
terceros  del  cumplimiento  de  una  serie  de  requisites,  asi  como  los  clientes,  que  cuentan  con  una  evaluation 
independiente  que  asegura  que  no  les  dan  gato  por  liebre,  una  especie  de  “control  de  calidad”.  Hasta  aqui 
todo  bien. 

Mi  vision  sobre  las  certificaciones  es  bastante  mas  critica,  en  parte  formada  por  los  contrasentidos  que 
regularmente  me  encuentro  entre  los  galardones  que  ofrecen  la  mayoria  de  certificaciones  antivirus  y 
los  resultados  que  obtenemos  en  los  tests  que  realizamos  a  esos  mismos  productos  durante  los  analisis 
y  comparativas  en  Hispasec.  Aunque  hay  muchos  matices  a  discutir,  basicamente  podriamos  resumir 
en  que  la  metodologia  utilizada  y  los  requisitos  que  se  exigen  en  las  certificaciones  no  se  ajustan  a  las 
necesidades  reales  de  los  usuarios  y,  por  tanto,  no  aseguran  un  nivel  adecuado  de  protection. 

A  partir  de  aqui  para  mi  desaparece  el  concepto  de  “calidad”  asociado  a  las  certificaciones,  que  pasan  a  ser 
simplemente  la  confirmation  de  que  un  producto,  en  un  determinado  momento  y  bajo  unas  circunstancias 
muy  concretas,  cumple  un  determinado  numero  de  requisitos.  La  certification  no  me  asegura  que  los 
requisitos  evaluados  cubran  mis  necesidades,  ni  que  las  circunstancias  especiales  en  las  que  se  cumplen 
dichos  requisitos  se  den  en  mi  entorno  real,  ni  me  puede  garantizar  que  el  producto  en  su  proxima 
actualization  siga  cumpliendo  esos  mismos  requisitos,  y  mucho  menos  puede  asegurar  (de  hecho  es  mas 
que  probable  que  ocurra)  que  dentro  de  x  semanas  no  se  descubra  una  nueva  vulnerabilidad  critica  que 
ponga  en  entredicho  no  ya  al  producto,  sino  incluso  a  la  propia  certification. 

En  estos  momentos  todo  el  mundo  recuerda  cuando  a  Windows  NT  le  otorgaron  el  nivel  de  seguridad  C2, 
de  acuerdo  con  los  estandares  de  seguridad  del  Departamento  de  Defensa  de  Estados  Unidos  segun  el 
criterio  del  famoso  libro  naranja.  Entre  los  “detalles”  nos  encontramos  que  la  certification  la  obtenia  un 
sistema  Windows  NT  sin  conexion  alguna  de  red,  de  lo  contrario  dejaba  de  ser  seguro.  dCuantos  sistemas 
Windows  NT  se  instalan  para  que  funcionen  de  forma  aislada?.  Por  lo  demas,  no  vamos  a  enumerar  las 
vulnerabilidades  que  se  descubrieron  a  posteriori  y  que  afectaban  de  lleno  a  los  requisitos  del  nivel  C2  (aun 
estando  el  sistema  sin  conexiones  de  red). 

En  el  caso  de  la  certification  “Common  Criteria”  recientemente  otorgada  a  Windows  2000,  de  la  que  nos 
haciamos  eco  en  la  anterior  entrega  de  “una-al-dia”,  comparto  con  mi  companero  Xavier  Caballe  en  que 
se  trata  de  una  muestra  mas  del  interes  que  esta  mostrando  Microsoft  por  la  seguridad  y,  sobre  todo,  del 
interes  en  explotarla  como  herramienta  de  marketing,  que  en  mi  opinion  es  la  autentica  funcionalidad  que 
tienen  las  certificaciones  para  los  productos  evaluados. 

Con  esto  no  quiero  criticar  a  Microsoft,  realmente  pienso  que  esta  consiguiendo  adelantos  en  materia  de 
seguridad  en  sus  productos.  Para  llegar  a  esta  conclusion,  mas  que  fijarme,  o  fiarme,  de  los  anuncios  de 
galardones,  prefiero  observar  detalles  mas  mundanos  que  nos  afectan  a  diario  a  todos  como,  por  ejemplo, 
que  su  nueva  politica  de  distribuir  actualizaciones  acumulativas  esta  disminuyendo  los  riesgos  de  sufrir 
regresiones  en  las  vulnerabilidades  asi  como  la  omision  de  parches  especificos. 

En  definitiva,  la  obtencion  de  certificaciones  por  parte  de  productos  es  un  indicador  positivo,  si  bien  no 
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garantizan  su  seguridad  global  ni  la  adecuacion  a  nuestro  entorno  y  necesidades  reales.  La  seguridad  es 
un  proceso  constante  que  no  debe  ser  medido  puntualmente  y  de  forma  aislada. 


Bernardo  Quintero 


30/12/2002  Actualizaciones  de  Microsoft,  un  arma  de  doble  filo 

A  principios  de  2002  se  presentaba  en  Espana,  bajo  el  nombre  de  Strategic  Technology  Protection 
Program  (STPP),  la  iniciativa  de  Microsoft  para  mejorar  la  seguridad  de  sus  productos.  Tras  la  experiencia 
acumulada  en  estos  ultimos  meses  podriamos  resumirla  en  una  sola  palabra:  automatizacion. 

Bajo  el  titulo  de  “Microsoft  STPP,  testrategia  tecnologica  o  lavado  de  cara?”,  intente  por  aquel  entonces 
balancear  entre  los  pros  y  los  contras  de  la  iniciativa,  con  un  pequeno  listado  de  problemas  por  resolver 
que  Microsoft  arrastraba  y  que  entendia  eran  criticos  (http://www.hispasec.com/unaaldia.aspPkU1213). 

En  la  situation  actual,  tras  casi  un  ano  de  STPP,  parte  de  esos  problemas  se  han  minimizado,  otros  se 
agravan,  y  surgen  nuevas  interrogantes. 

El  usuario  final  mejora  su  seguridad. 

Queda  claro  que  Microsoft  ha  puesto  especial  ernpeno  en  facilitar  la  vida  a  los  usuarios  automatizando 
todo  el  proceso  de  actualizaciones,  tanto  en  el  ambito  de  notificaciones,  descarga  e  instalacion.  Parece  que 
nos  dirige  hacia  sistemas  totalmente  autosuficientes  y  transparentes,  que  se  encargaran  por  nosotros  de 
estar  actualizados  puntualmente. 

Este  planteamiento,  que  ya  se  intuia  con  servicios  como  Windows  Update  y  que  se  hacen  mas  evidentes 
en  sistemas  como  Windows  XP,  corrige  en  gran  parte  los  problemas  de  regresion  de  vulnerabilidades 
de  antano,  al  menos  los  inducidos  directamente  por  el  usuario.  Basicamente,  estos  problemas  aparecian 
por  la  instalacion  de  parches  especificos  sin  el  orden  adecuado,  lo  que  llevaba  a  sobrescribir  bibliotecas  y 
componentes  con  versiones  mas  antiguas  y,  por  tanto,  la  aparicion  de  vulnerabilidades  anteriores.  Con  los 
nuevos  servicios  de  actualizacion  automatica,  como  Windows  Update,  es  el  propio  sistema  el  que  decide 
que  parches  y  en  que  orden  deben  ser  instalados,  minimizando  este  riesgo. 

Por  contra,  esta  misma  automatizacion,  agrava  el  enmascaramiento  de  nuevas  versiones  yfuncionalidades 
con  la  excusa  de  la  seguridad,  lo  que  en  algunos  casos  ha  supuesto  la  aparicion  de  nuevas  vulnerabilidades. 
Lo  ideal  es  que  cada  vulnerabilidad  cuente  con  un  parche  especifico  disenado  para  corregirla.  Sin 
embargo,  Microsoft  suele  ofrecer  como  solution  la  actualizacion  a  nuevas  versiones  del  software  0 
componente  afectado,  algunas  veces  de  forma  publica,  y  otras  veces  ocultando  las  nuevas  funcionalidades 
o  modificaciones  en  un  parche  de  seguridad. 

Las  implicaciones  de  esta  politica  en  el  ambito  de  seguridad  son  varias,  por  unlado  las  nuevas  funcionalidades 
incorporadas  en  los  parches  o  nuevas  versiones  son  en  muchos  casos  origen  de  nuevas  vulnerabilidades, 
problemas  que  no  habrian  aparecido  en  los  componentes  anteriores  si  se  hubieran  limitado  a  corregir 
la  vulnerabilidad.  Por  otro  lado,  esta  practica  es  la  que  provoca  la  mayoria  de  incompatibilidades  o  mal 
funcionamiento  del  sistema  con  el  hardware  /  software  ya  existente  tras  haber  realizado  una  actualizacion 
de  seguridad. 
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En  lineas  generales,  en  lo  que  respecta  al  usuario  final  y  balanceando  lo  dicho  anteriormente,  la  iniciativa 
STPP  representa  un  avance  significative),  ya  que  ha  mejorado  los  tiempos  de  actualizacion  de  los  PCS  y 
facilita  en  gran  manera  la  tarea  al  usuario. 

Perdida  de  control  por  parte  de  los  administradores  y  profesionales 

Sin  embargo,  desde  el  punto  de  vista  de  los  administradores  de  sistemas  y  profesionales,  tanta 
automatization  y  abstraction  se  traducen  en  un  menor  control,  que  ya  de  por  si  era  bastante  limitado  en 
plataformas  Microsoft. 

De  entrada,  tanta  actualizacion  automatica  seguro  que  pone  en  alerta  a  mas  de  un  administrador  de 
sistemas,  que  ya  habra  experimentado  como  un  simple  parche  a  demanda,  o  el  Service  Pack  de  turno, 
ha  podido  volver  inestable  ciertos  servicios,  cuando  no  a  todo  un  servidor.  Con  esta  experiencia,  no  es 
de  extranar  que  algunas  politicas  corporativas  contemplen  tests  de  los  parches  en  equipos  de  pruebas, 
durante  al  menos  un  mes,  antes  de  pasarlos  a  los  sistemas  de  produccion. 

Con  STPP  se  plantean  nuevos  problemas,  ya  que  Microsoft  esta  optando  en  muchas  ocasiones  por  “macro 
parches”  acumulativos,  que  resuelven  multiples  vulnerabilidades  con  una  sola  actualizacion.  Mientras 
antes  un  administrador  de  sistemas  podia  decidir  si  instalar  un  parche  especifico  o  retrasarlo,  dependiendo 
de  si  afectaba  a  la  configuracion  de  su  servidor  o  si  podia  prevenirlo  por  su  cuenta  (por  ejemplo  con  reglas 
en  el  firewall  o  modificando  la  configuracion  del  sistema),  ahora  esa  option  es  muy  limitada,  por  lo  que 
tendremos  que  instalar  los  “macro  parches”  aun  a  sabiendas  de  que  algunas  correcciones  no  las  necesitaba 
nuestro  sistema,  con  las  implicaciones  que  ello  pueda  acarrear  en  cuanto  a  estabilidad. 

Por  otro  lado,  la  tendencia  parece  que  apunta  a  que  cada  vez  mas  los  sistemas  de  Microsoft  realizaran 
operaciones  y  actualizaciones  automaticas,  transparentes  al  usuario,  dependiendo  de  conexiones  externas 
via  Internet.  Algunas  de  estas  tendencias  ya  pueden  verse  en  los  sistemas  de  actualizacion  automaticos 
actuales  o  en  Windows  XP,  sin  entrar  en  otras  consideraciones  como  pueden  ser  el  control  que  Microsoft 
puede  establecer  a  traves  de  estas  vias,  politicas  de  control  de  licencias  o  fidelizacion  (solo  permitir 
actualizar  a  los  usuarios  suscritos)  y  sus  implicaciones  en  el  ambito  de  la  privacidad.  Si  extrapolamos 
esto  a  un  servidor,  los  administradores  de  sistemas  tendran  aun  menos  control  o,  dicho  de  otra  forma, 
contaran  con  un  “superusuario”  por  encima  de  ellos:  Microsoft. 

Windows  NT,  cronica  de  una  muerte  anunciada 

Ante  este  panorama  algunos  podrian  decidir  no  migrar  hacia  los  nuevos  sistemas  de  Microsoft  y  quedarse 
con  plataformas  como  por  ejemplo  Windows  NT,  sistemas  con  anos  en  produccion,  bien  conocidos  por 
los  administradores,  con  multiples  Service  Packs  a  sus  espaldas  que  han  ido  puliendo  sus  defectos  y 
mejorandolo,  que  ya  se  encuentran  bien  implantados,  cumplen  su  cometido  y  no  necesitan  de  las  nuevas 
funcionalidades  que  propone  Microsoft. 

Desgraciadamente  Windows  NT  tiene  sus  dias  contados,  y  eso  es  facil  de  predecir,  bien  observando  la 
historia  reciente  de  Microsoft,  bien  dejandose  llevar  por  simples  reglas  de  mercado:  hay  que  vender  los 
nuevos  productos.  En  este  apartado  la  seguridad  juega  un  papel  critico,  incluso  como  herramienta  para 
forzar  a  la  actualizacion.  Igual  que  no  hay  solution  para  ciertos  problemas  de  seguridad  en  Windows  95  o 
en  Internet  Explorer  5.0,  obligando  al  usuario  a  actualizar  a  Windows  98  0  IE6.0  si  quiere  estar  seguro. 
Es  solo  cuestion  de  tiempo  que  Microsoft  deje  de  dar  soporte  a  Windows  NT. 

Posibles  mejoras 
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Desde  el  punto  de  vista  del  administrador  de  sistemas  lo  ideal  seria  ofrecerles  la  posibilidad  de  obtener  un 
mayor  control.  Aunque  las  comparaciones  en  este  ambito  son  casi  inevitables,  evitare  entrar  en  el  eterno 
debate  entre  la  comunidad  Open  Source  y  Microsoft,  no  en  vano  algunas  posturas  que  se  podrian  copiar  y 
adoptar  pueden  sonar  a  pura  quimera.  Asi  que  las  peticiones  seran  escasas  y  simples. 

De  entrada  seria  importante  que  Microsoft,  ademas  de  los  macro  parches  acumulativos,  ofreciera  la 
posibilidad  de  obtener  parches  especificos  e  individuales,  de  forma  que  el  administrador  pudiera  optar 
por  una  instalacion  personalizada  de  los  mismos,  segun  configuration  y  necesidades. 

Llegados  a  este  punto  es  vital  que  se  ofrezca  information  mas  al  detalle  sobre  las  vulnerabilidades, 
entrando  mas  en  profundidad  en  la  explotacion  y  opciones  de  mitigation  del  ataque,  asi  como  en  los 
parches  propuestos  (que  componentes  seran  actualizados,  que  dependencias  crea  dicha  actualization,  si 
se  introducen  modificaciones  adicionales,  etc.). 

Bienvenida  seria  la  option  de  desactivar  todas  las  dependencias  y  conexiones  externas  y  automaticas,  tanto 
a  nivel  de  servidores  como  de  estaciones  de  trabajo.  Asi  como  documentar  el  proceso  de  WindowsUpdate  y 
facilitar  su  personalization,  posibilitando  a  los  administradores  establecer  sus  propias  politicas  y  sistemas 
internos  de  autoactualizacion  segun  necesidades.  Aunque  Microsoft  ya  dispone  de  soluciones  propietarias 
para  la  distribution  de  parches,  su  adoption  solo  optimiza  recursos  y  cambia  el  problema  de  sitio,  pero  no 
permite  corregir  la  situation  de  dependencia  y  falta  de  control. 


Bernardo  Quintero 


Entrevista 


Hector  Montenegro  fue  responsable  de  seguridad  de  Microsoft  en  Espana  en  los 
tiempos  duros,  desde  el  2001  al  2003,  sabe  como  nadie  que  es  enfrentarse  a  las 
criticas  (fundadas)  sobre  seguridad  en  productos  de  Microsoft  y  tener  poco  con  lo 
que  “defenderse”. 

Hispasec:  tCual  y  como  fue  tu  primer  contacto  con  Hispasec? 

Hector  Montenegro:  Mi  primer  contacto  “personal”  con  Hispasec  lo  recuerdo  perfectamente.  Fue  en 
diciembre  del  aho  2001.  Ano  especialmente  activo  en  terminos  de  “incidencias”  masivas  de  seguridad. 
Lanzamos  un  programa  de  Protection  tecnologica  (STPP)  y  necesitabamos  credibilidad,  consejo,  opinion 
experta,  etc. 

H:  tEstas  suscrito  a  una-al-dia?  f. desde  cuando? 

HM:  Si,  estoy  suscrito  desde  el  ano  1998.  Recuerdo  que  en  aquel  entonces  era  el  responsable  de  Seguridad 
de  la  empresa  DINSA. 

H:  fcComo  influyo  una-al-dia  e  Hispasec  en  el  departamento  de  seguridad  de  Microsoft  (si 
es  que  lo  hizo)? 

HM:  Si  que  lo  hizo,  desde  varias  perspectivas.  La  primera,  porque  la  noticia  de  una-al-dia  era  de 


Hector  Montenegro 
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lectura  obligatoria  y  diaria.  Si  en  algun  momento  aparecia  una  noticia  relacionada  con  Microsoft,  sabia 
perfectamente  que  ese  iba  a  ser  motivo  de  conversation  con  la  visita,  cliente,  partner  que  tuviera  ese  dia. 
iTeniais  mucha  influencia! 

Y  por  otro  lado,  Hispasec  tuvo  la  generosidad  en  su  momento  de  “ilustrarnos”  y  abrirnos  los  ojos 
sobre  muchos  aspectos  de  la  seguridad  real  que  nos  podian  pasar  desapercibidos.  De  forma  amigable, 
pero  rotunda.  Tuvisteis  mucha  mas  influencia  de  lo  que  pensais  llevandonos  a  una  fuerte  autocritica. 
Indispensable  para  mejorar. 

H:  iComo  y  por  que  te  metiste  en  esto? 

HM:  Cuando  comence  a  trastear  en  el  ano  1994  con  un  disquete  promocional  de  CompuServe  adjunto  a  no 
se  que,  quien  me  iba  a  decir  entonces  que  eso  iba  a  modificar  de  alguna  forma  la  prometedora  y  meteorica 
carrera  que  como  Fisico  habia  emprendido  hacia  el  Nobel  ;-)  desde  una  empresa  de  I+D  del  entonces 
Institute  Nacional  de  Industria,  enfrascado  en  publicar  el  maximo  numero  de  articulos  posible  sobre 
Simulation  Computacional.  Sin  apenas  darme  cuenta,  me  vi  sustituyendo  mis  libros  de  “Computational  fluid 
Dynamics”  o  “Coal  combustion  simulation”  por  “Los  secretes  de  la  Seguridad  en  Internet”,  “Programacion 
en  Internet”  o  “Net  Privacy”. 

H:  fcPiensas  que  se  ha  perdido  el  “romanticismo”  de  aquellos  primeros  dias  en  la  red? 

HM:  iRomanticismo?  Respondo  a  nivel  personal,  y  recordando  el  1995  entre  las  cuatro  paredes  de 
mi  habitation.  Eramos  era  una  pandilla  de  “taraos”  a  los  ojos  de  muchos.  Hablando  de  dominios, 
proveedores,  seguridad...  (''.Seguridad?  c.Pero  de  que  me  esta  hablando  este  buen  hombre  que  no  se  levanta 
del  ordenador?  Lo  recuerdo  como  un  campo  de  experimentation  constante.  Como  un  campo  de  pruebas  y 
de  permanente  sorpresa.  Para  mi  era  tal  la  pasion  que  sentia  cada  vez  que  descubria  algo  nuevo,  que  la  red 
termino  en  convertirse  en  un  autentico  devorador  de  tiempo,  y  finalmente  en  una  parte  importante  de  mi 
futura  profesion  (reconocere  haber  dejado  en  el  camino  una  expulsion  de  mi  ISP,  y  es  que  trastear  con  la 
seguridad  nunca  fue  del  agrado  de  todos  ;-)) 

H:  Si  bien  es  cierto  que  a  partir  del  2002  el  propio  Bill  Gates  centro  atencion  y  recursos 
en  mejorar  todos  los  aspectos  de  seguridad,  Microsoft  aun  mantiene  una  imagen  cuando 
menos  cuestionada  en  este  area.  tCuanto  hay  de  herencia  del  pasado  y  cuanto  de  realidad 
en  las  criticas  actuales?  £A  dia  de  hoy  es  un  problema  mas  de  imagen  que  de  tecnologia? 

HM:  Absolutamente.  Es  evidente  para  los  profesionales  de  la  seguridad  el  gran  esfuerzo  que  se  ha  hecho 
y  se  sigue  haciendo  desde  Microsoft,  en  todas  y  cada  una  de  las  fases  relacionadas  con  la  seguridad  de  un 
producto.  Muchas  de  las  acciones  criticadas  ferozmente  por  muchos  (actualization  periodica),  hoy  en  dia 
son  imitadas  por  casi  la  totalidad  de  fabricantes. 

Todos  sabemos  que  la  seguridad  es  un  arduo  proceso.  En  una  ocasion  vi  la  seguridad  definida  como  “un 
estado  de  animo”.  Pero  no  cabe  duda  que  con  frecuencia  nos  encontramos  con  una  inertia  (interesada  y 
alimentada  por  competidores)  a  modificar  prejuicios  relacionados  con  la  seguridad  en  Microsoft  yperpetuar 
una  imagen  que  no  corresponde  con  la  realidad  actual.  Y  pondria  muchos  ejemplos  como  los  relacionados 
con  ORACLE  0  Apache  en  su  comparacion  con  SQL  Server  0  IIS  respectivamente.  Los  problemas  de 
seguridad  de  los  primeros  suman  mas  de  10  veces  los  problemas  de  seguridad  de  los  segundos,  y  sin 
embargo  la  perception  no  va  en  consonancia  con  este  dato. 

H:  Suponemos  que  a  lo  largo  de  los  anos  te  habras  encontrado  en  mas  de  una  situacion 
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“hostil”  a  la  hora  de  dar  conferencias  como  responsable  de  seguridad  de  Microsoft,  por 
ser  objeto  de  critica  tanto  por  parte  de  ponentes  (nosotros  hemos  participado  en  alguno) 
como  de  publico.  tHas  observado  alguna  evolucion  en  las  criticas  durante  estos  anos  o  son 
recurrentes? 

HM:  Si,  en  efecto  ser  responsable  de  seguridad  de  Microsoft  en  los  tiempos  “heavies”  del  2001  al  2003 
fue  una  experiencia  y  un  sobresalto.  Recuerdo  especialmente  aquella  ocasion  (2001)  que  vosotros  tambien 
recordais  en  el  evento  e-Gallaecia,  en  el  que  permaneci  durante  tres  dias  completos,  sentado  en  primera 
fila,  escuchando  las  “dedicatorias”  de  bastantes  ponentes,  y  tomando  notas  como  un  descosido  para 
responderles  adecuadamente  en  mi  intervencion  posterior.  Afortunadamente  mi  intervencion  era  la 
ultima  del  ultimo  dia  (habia  morbo,  y  por  eso  me  dejaron  hasta  el  final  ;-) ,  pero  el  numero  de  alusiones 
en  tres  dias  habia  sido  tan  enorme,  que  responder  a  todas  ellas  fue  un  reto.  Recuerdo  especialmente  la 
mention  que  os  hice  en  aquel  evento  (estabais  entre  el  publico)  a  sabiendas  de  que  vuestro  sitio  web  se 
encontraba  sobre  Windows  NT,  sin  protecciones  perimetrales,  configurado  con  conocimiento  y  criterio  de 
forma  que  nunca  habia  sufrido  un  percance  de  seguridad  a  pesar  del  elevado  numero  de  ataques.  Asique 
me  servisteis  de  ejemplo  para  hablar  de  la  “vulnerabilidad  de  capa  7”  ;-) . 

La  hostilidad  hacia  Microsoft  en  debates  publicos  acerca  de  la  seguridad,  no  tiene  nada  que  ver  en  la 
actualidad.  Especialmente  gracias  a  que  lo  que  en  el  2001  eran  solo  promesas,  con  el  tiempo  se  iban 
plasmando  en  realidades  y  argumentos  con  los  que  te  sentias  mas  “protegido”  (es  decir,  common  Criteria, 
Secure  Development  lifecicle,  reduction  del  60%  en  numero  de  vulnerabilidades,  etc.).  En  el  2001  me 
sentia  como  si  Microsoft  me  daba  una  navajita  cortaunas  y  me  decia:  “Ale  chaval,  haz  lo  que  puedas”. 
Ahora  sinceramente  siento  que  la  “navajita  cortaunas”  es  un  bazuca.  Recuerdo  tambien  de  forma  especial 
la  mesa  redonda  en  Securmatica  sobre  la  seguridad  en  codigo  abierto  vs.  propietario.  Toda  una  experiencia 
;-) 

De  estas  he  tenido  unas  cuantas,  pero  reconozco  que  la  mayor  “pasion”  en  debates  estaba  aun  por  llegar. 
Y  es  que  el  “apasionamiento”  cuasi  religioso  que  traen  consigo  los  temas  relacionados  con  la  competencia 
Open  Source  vs.  software  propietario,  hacen  que  ese  tipo  de  experiencias  sobre  seguridad  las  recuerde  casi 
como  un  juego  de  ninos.  Lo  “mejor”  estaba  aun  por  llegar  (frase  un  tanto  masoquista,  lo  se). 

H:  En  una  industria  tan  bien  asentada  y  especializada  como  la  de  los  antivirus,  f.que 
impulso  a  Microsoft  a  entrar  de  lleno  con  sus  propias  soluciones?  tSimplemente  negocio 
o  sintio  la  necesidad  de  mejorar  en  algun  aspecto  que  no  era  cubierto  por  las  companias 
antivirus? 

HM:  No  fue  un  aspecto  relacionado  con  “falta  de  confianza”.  Es  mas,  los  grandes  fabricantes  antivirus  son 
muy  buenos  socios  de  Microsoft  con  un  enorme  conocimiento  y  experiencia.  Pero  si  veiamos  importante  el 
aumentar  nuestro  conocimiento  sobre  el  mundo  de  la  seguridad  (no  solo  desde  la  perspectiva  de  desarrollo 
seguro  de  codigo  y  de  respuesta  a  emergencias)  y  participar  de  la  evolucion  de  ese  mercado.  Tenemos 
mas  capacidad  de  entender  los  problemas  de  seguridad,  reaccionar  de  forma  mas  solida  y  colaborar  mas 
eficazmente  con  nuestros  socios  de  seguridad  ahora  que  antes. 

H:  fcCual  es  el  sitio  mas  interesante  en  el  que  has  estado  por  trabajo? 

HM:  Desde  la  perspectiva  ludico-festiva,  sin  duda  el  viaje  que  aproveche  para  visitar  unos  dias  el  parque 
natural  de  Banff  en  plenas  montanas  Rocosas  en  Canada.  Una  vez  pasada  la  aprension  a  ser  devorado  por 
un  oso,  los  paisajes  de  los  que  ahi  se  disfrutan  son  “indescriptibles”,  ademas  de  circular  por  la  alucinante 
Autopista  de  Hielo  que  recorre  el  parque,  dicen  que  la  mas  espectacular  de  America,  y  no  es  para  menos. 
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Prohibido  tocar  el  freno,  por  razones  obvias.  Desde  la  perspectiva  profesional,  pues  es  diflcil.  Quiza,  y 
por  ser  mas  reciente,  la  reunion  en  San  Francisco  que  describo  en  este  post  http://blogs.technet.com/ 
hectormontenegro/archive/2008/05/26/alucinante-reuni-n.aspx  (si,  sin  duda,  estoy  aprovechando  para 
hacer  publicidad  de  mi  blog  ;-)) 

H:  fcPor  donde  andaran  los  tiros  en  seguridad  en  el  futuro? 

HM:  Esto  siempre  es  una  aventura,  pero  a  nivel  de  investigation  basica  creo  que  los  avances  en  criptografia 
cuantica  marcaran  el  futuro  de  la  seguridad  en  funcion  de  su  capacidad  de  implementation  de  bajo  coste 
y  accesibilidad. 

H:  IA  que  dedicas  mas  tiempo  ultimamente? 

HM:  Esa  pregunta  me  hace  sospechar  que  no  tienes  hijos,  fVerdad?  Pues  el  tiempo  no  profesional  a 
mi  familia,  a  la  musica  (aporrear  baterias  y  guitarras  me  vine  relajando  desde  los  18  anos),  a  la  lectura 
(recomiendo  Un  dia  de  Colera.  Alucinante)  y  a  la  montana.  Si  la  pregunta  iba  mas  por  el  lado  profesional, 
te  reconocere  que  hace  un  par  de  anos  no  me  dedico  con  la  misma  intensidad  a  la  seguridad,  y  si  por  el 
contrario  al  mundo  de  los  estandares  (OpenXML,)  interoperabilidad,  a  pelearme  en  mi  blog  (http://www. 
hectormontenegro.com),  aunque  no  perder  la  seguridad  de  vista  sigue  siendo  una  satisfaction. 
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Durante  este  ano... 


_  El  23  de  enero  se  recibe  la  ultima  serial  del  mitico  Pioneer  10,  una  aeronave  espacial 
lanzada  al  espacio  en  1972  que  hizo  las  primeras  observaciones  de  Jupiter.  Se  perdio  su 
serial  cuando  estaba  a  unos  12.000  millones  de  kilometros  de  la  Tierra. 

_  El  14  de  febrero  muere  la  Oveja  Dolly.  Fue  el  primer  mamifero  clonado  en  1996.  Su  muerte  se  debe, 
entre  otras  posibles  causas,  a  la  antigiiedad  genetica  del  nucleo  de  la  celula  adulta  que  le  fue  transferida. 
Aunque  cuenta  cronologicamente  con  mas  de  5  anos,  ya  tiene  artritis.  Geneticamente  suma  11  (hay  que 
sumar  los  6  de  la  edad  genetica  de  la  madre). 

_  Vodafone  sufre  una  averla  el  20  de  febrero  que  deja  sin  telefono  movil  a  sus  casi  9  millones  de  abonados 
en  Espana. 

_  Aparece  Second  Life,  un  mundo  virtual  desarrollado  por  Linden  Research  Inc.  Obtendria  una  atencion 
y  popularidad  cada  vez  mayores  a  partir  del  ano  2006,  cuando  las  empresas  comienzan  a  montar  sus  sedes 
virtuales  dentro  de  este  lugar  que  parece  atrapar  a  sus  participantes.  Caspar  Llamazares,  coordinador  de 
Izquierda  Unida  tiene  su  propio  personaje  de  Second  Life  y  la  delegation  del  PP  en  Castilla  La  Mancha 
cuenta  con  una  oficina  electoral.  Se  montarian,  incluso,  manifestaciones  virtuales  contra  las  sedes  de 
partidos  politicos.  Se  crea  toda  una  jerarquia  y  mundo  paralelo,  que  se  refleja  en  cifras  muy  reales  al 
vender  en  la  vida  real  las  cuentas  de  personajes  poderosos  en  Second  Life.  A  finales  de  2004  se  lanzaria 
World  of  Warcraft,  otro  mundo  virtual  con  mucho  exito. 


La  guerra  contra  Iraq  comienza  a  materializarse.  Los  lideres  del  Reino  Unido,  Espana, 
Dinamarca,  Hungria,  Italia,  Polonia,  Republica  Checa,  Portugal  y  Rumania  demuestran 
su  apoyo  a  los  planes  de  Estados  Unidos  para  invadir  el  pals.  Francia  muestra  su  rechazo  y 
Estados  Unidos  cambia  el  nombre  de  sus  “French  Fries”  (con  este  nombre  se  conocen  all! 
las  patatas  fritas)  por  “Freedom  Fries”. 

El  15  de  febrero  10  millones  de  personas  en  mas  de  600  ciudades  de  todo  el  mundo  se 
manifiestan  en  contra  de  la  guerra.  Al  dla  siguiente,  todos  los  grupos  de  oposicion  del 
Parlamento  espanol  apoyan  una  mocion  contra  la  posicion  de  Bush  y  Aznar.  El  16  de 
marzo,  Aznar,  Blair  y  Bush  se  reunen  en  la  conocida  “foto  de  las  Azores”  donde  los  tres 
argumentan  que,  segun  palabras  del  propio  Bush,  “es  el  momento  de  la  verdad”.  Se  da 
un  ultimatum  de  48  horas  a  Iraq  para  forzar  el  desarme  inmediato.  Bush  insiste  en  que  la 
operacion  sera  corta  y  eficaz. 

El  desarme  no  se  produce  y  el  dia  19  de  marzo,  las  primeras  bombas  caen  sobre  Baghdad. 
Ni  Saddam  Hussein  ni  sus  hijos  abandonan  el  pais.  Los  hijos  de  Hussein  moririan  el  dia  22  de 
julio  en  manos  de  las  tropas  de  los  Estados  Unidos.  El  9  de  abril  las  fuerzas  estadounidenses 
conquistan  la  capital  Baghdad,  y  para  el  1  de  mayo,  George  W.  Bush  anuncia  a  bombo 
y  platillo  que  la  mision  se  ha  conseguido  y  que  los  combates  se  dan  por  concluidos  en  el 
pais. 
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En  marzo  de  2008  se  llegaria  a  los  4.000  militares  estadounidenses  muertos  en  la  guerra.  Los 
civiles  y  militares  iraqules  muertos  se  cuentan  por  decenas  de  miles  bajo  una  atmosfera  de 
continuo  miedo  y  ataques  terroristas  en  las  principales  ciudades  del  pats. 


_  El  14  de  abril  se  completa  el  genoma  humano  con  un  99.99%  de  precision.  Concluye  asi  la  carrera 
hacia  el  conocimiento  de  la  genetica  humana. 

_  El  26  de  mayo  de  2003,  un  avionYakovlev  42-D  de  fabrication  rusa  se  estrella  en  Turquia  cerca  del 
aeropuerto  de  Trebisonda  con  75  personas  a  bordo.  Entre  ellos,  62  militares  espanoles  que  regresaban 
a  Espana  despues  de  cuatro  meses  de  mision  en  Afganistan  y  Kirguizistan.  Mueren  todos  junto  a  12 
tripulantes  ucranianos  y  un  ciudadano  de  origen  bielorruso.  El  accidente  se  convierte  en  la  peor  tragedia 
del  Ejercito  espanol  en  toda  su  historia  en  tiempo  de  paz. 

_  Durante  el  verano,  se  vive  una  ola  de  calor  en  todo  el  mundo.  En  el  Reino  Unido  se  alcanzan  los  38,5 
grados  centigrados  en  agosto.  Paris  llega  a  los  44. 

_  En  la  una-al-dia  del  23  de  agosto  “Nuevo  caso  de  “phishing”,  esta  vez  con  Citibank”  se  incluye  por 
primera  vez  el  termino  phishing.  Hasta  ahora  se  venia  usando  la  expresion  generica  “fraude  online”. 

_  A  principios  de  octubre  Arnold  Schwarzenegger  es  elegido  como  gobernador  de  California, 
abandonando  su  carrera  de  actor. 

_  El  20  de  noviembre  Michael  Jackson  es  arrestado  con  cargos  de  abuso  infantil. 

_  El  dia  de  Nochebuena  la  policia  espanola  frustra  un  ataque  de  ETA.  Pretendia  colocar  50  kilos  de 
explosivos  en  la  estacion  de  Chamartin  de  Madrid. 

_  El  26  de  noviembre  el  Concorde  realiza  su  ultimo  vuelo.  El 
primero  lo  realizo  en  1969,  comenzando  el  servicio  comercial 
en  1976.  Se  convirtio  en  un  icono  de  la  aviation  durante  los 
80  y  90,  muy  popular  debido  a  su  diseno  futurista  y  velocidad 
supersonica.  El  vuelo  Air  France  4590  realizado  por  un 
Concorde  de  Paris  a  Nueva  York,  se  estrello  en  Francia  el  25  de 
julio  de  2000  con  109  personas  en  su  interior.  Todas  murieron. 

El  incidente  se  produjo  por  una  pieza  de  titanio  que  se  habia 
desprendido  de  un  despegue  anterior  en  la  misma  pista  desde 
donde  salia  el  Concorde.  Aunque  se  consideraba  el  avion  mas 
seguro  del  mundo,  con  respecto  al  ratio  pasajeros  fallecidos  y  distancia  viajada,  este  accidente  marcaria  el 
principio  del  fin  del  Concorde.  La  crisis  economica  tras  los  atentados  del  11  de  septiembre,  junto  con  otros 
factores,  pusieron  punto  y  final  a  sus  vuelos  a  finales  de  2003. 

_  Se  crea  el  Proyecto  Fedora.  La  mitica  Red  Hat  Linux  es  descontinuada  y  se  recicla 
en  forma  de  Red  Hat  Enterprise  Linux  (RHEL).  Se  trata  de  la  distribution  de  Linux 
oficialmente  soportada  por  Red  Hat,  orientada  a  empresas.  Fedora  se  convertiria  en  un 
proyecto  comunitario  como  lo  habia  venido  siendo  hasta  ahora  Red  Hat  Linux.  Red  Hat 
Linux  9  dejaria  de  ser  soportada  oficialmente  en  abril  de  2004,  aunque  el  proyecto  Fedora 
Legacy  continuo  publicando  actualizaciones  hasta  finales  de  2006.  Fedora  ganaria  gran  popularidad  con 
un  elevado  numero  de  versiones.  La  version  1.0  de  Red  Hat  fue  presentada  el  3  de  noviembre  de  1994. 
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_  Durante  el  ano  2003,  hasta  60  millones  de  europeos  usan 

la  banca  online  para  gestionar  sus  ahorros,  en  contraste  con  los  '  ™ 

23  millones  que  hacian  uso  de  este  servicio  en  el  ano  2000.  Las 
bases  para  el  phishing  y  el  fraude  online  se  asientan. 

_  El  mes  de  enero  se  inaugura  con  la  deteccion  del  virus  Avril  (0  Lirva,  Avron 
0  Naith).  Se  propaga  a  traves  del  correo  electronico,  unidades  de  redes  locales, 
IRC,  ICQ  y  Kazaa,  ademas  de  robar  contrasenas.  Hace  referencia  a  la  cantante 
Avril  Lavigne,  a  la  que  el  gusano  dedica  el  “payload”.  Consigue  una  gran  difusion. 
En  pocas  horas  se  situa  en  segunda  position  en  los  indicadores  de  infection, 
solo  por  debajo  de  Klez.  Pocos  dias  despues  aparece  Sobag,  un  gusano  de  gran 
propagacion  que  ataca  con  fuerza  en  Estados  Unidos  y  paises  anglosajones.  La 
difusion  de  estos  virus  se  realiza  todavia  de  forma  clasica,  con  un  adjunto  en  un 
mensaje  de  correo...  pero  esto  no  tardaria  en  cambiar. 


Irrumpe  en  escena  a  finales  de  enero  Slammer,  un  gusano  en  el  sentido  mas  literal  del 
termino  que  haria  historia.  Aprovecha  una  vulnerabilidad  de  Microsoft  SQL  Server. 
Slammer  se  conecta,  aprovecha  el  fallo  y  ejecuta  un  pequeno  codigo  que  busca  nuevos 
servidores  a  los  que  infectar.  En  apenas  unos  minutos  los  servidores  infectados  se  elevan 
exponencialmente,  hasta  que  la  Red  completa  sufre  una  pequena  saturacion.  Cada 
8,5  segundos  se  dobla  el  numero  de  sistemas  infectados  y  en  solo  diez  minutos  consigue 
introducirse  e  infectar  a  75.000  ordenadores.  Se  cuela  en  la  red  de  monitorizacion  de  una 
central  nuclear,  dejandola  inoperativa  durante  cinco  largas  horas.  Slammer  no  se  escribe 
como  archivo,  solo  existe  en  la  memoria  de  los  sistemas  infectados,  lo  que  complica  la 
deteccion  por  parte  de  los  antivirus. 

El  gusano  actua  enviando  un  paquete  UDP  de  376  bytes  al  puerto  1434,  y  aprovecha 
una  vulnerabilidad  de  desbordamiento  de  memoria  intermedia  existente  en  este  servicio 
para  forzar  la  ejecucion  automatica  del  codigo.  El  puerto  1434  es  usado  por  los  clientes 
para  consultar  cual  es  el  puerto  TCP  asignado  a  un  servidor  SQL  virtual  en  particular.  La 
vulnerabilidad  fue  documentada  por  Microsoft  el  24  de  julio  de  2002,  fecha  desde  la  que 
esta  disponible  un  parche  especifico  para  corregirla. 


_  En  agosto  el  gusano  Sobig  bate  un  record:  Messagelabs  lo  califica  como  el  virus  con  la  propagacion  mas 
rapida  de  la  historia. 

_  En  febrero  The  Washington  Post  publica  que  el  presidente  de  los  Estados  Unidos  ha  firmado  una 
directiva  secreta  en  la  que  ordena  al  gobierno  desarrollar,  por  primera  vez,  un  plan  nacional  que  fijara 
cuando  y  como  lanzar  ciber-ataques  contra  las  redes  informaticas  del  “enemigo”.  El  Pentagono 
prepara  los  planes  para  establecer  todos  los  pasos  necesarios  para  desarrollar  una  actuation  hostil  contra 
la  infraestructura  informatica  de  un  pais  enemigo.  Se  compara  esta  directiva  con  la  existente  para  el 
uso  del  armamento  nuclear,  que  establece  las  situaciones  en  las  que  puede  utilizarse  este  tipo  de  fuerza, 
la  selection  de  objetivos  que  se  consideren  legitimos  y  quien  debe  autorizar  un  ataque  de  este  tipo.  El 
periodico  norteamericano  indica  que  todo  el  desarrollo  se  ha  realizado  internamente  por  organismos 
publicos  (Pentagono,  CIA,  FBI  y  NSA).  Un  mes  antes  se  habia  solicitado  por  primera  vez  la  opinion  de 
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expertos  externos,  en  una  reunion  celebrada  en  el  MIT.  De  acuerdo  con  la  noticia,  diversos  investigadores 
expresaron  sus  reservas  en  participar  en  este  tipo  de  planes  belicos. 

_  VISA  y  MasterCard  reconocen  que  los  datos  de  mas  de  cinco  millones  de 
tarjetas  de  credito  se  han  visto  comprometidos.  Algunas  fuentes  elevan  la  cifra 
hasta  los  8  millones,  al  incluir  las  tarjetas  de  American  Express,  tambien  afectada. 

El  atacante  obtuvo  los  datos  de  los  numeros  de  tarjetas  de  credito  tras  comprometer 
la  seguridad  de  una  tercera  compama  encargada  de  procesar  las  transacciones  de  las 
tarjetas  de  credito  en  nombre  de  comerciantes. 


_  Se  detecta  a  finales  de  febrero  Lovgate,  cuya  peculiaridad  es  que  responde  a  los  correos  reales.  Entre 
otras  tecnicas,  el  gusano  se  distribuye  por  email  simulando  ser  respuestas  a  los  mensajes  nuevos  que  se 
encuentran  en  la  bandeja  de  entrada  de  los  usuarios  infectados.  Esta  simple  tecnica  de  ingenieria  social 
(que  contrasta  con  los  asuntos  fijos  usados  en  general  por  el  malware  hasta  la  fecha)  le  hace  escalar  puestos 
rapidamente  como  gusano  de  gran  propagation. 

_  Se  popularizan  nuevos  metodos  de  envio  de  spam  usando  el  servicio  Messenger  de  Windows. 
El  servicio  Messenger  (no  confundir  con  el  Microsoft  Messenger  o  el  MSN  Messenger  ni  con  ningun 
programa  de  navegacion  web  o  lectura  de  correo  electronico)  es  un  servicio  de  los  sistemas  operativos  de 
la  familia  Windows  que  implementa  un  sencillo  sistema  de  envio  de  mensajes  y  avisos  entre  las  maquinas 
conectadas  en  la  red  local.  Los  mensajes  emergentes  utilizan  el  protocolo  NetBIOS,  por  lo  que  cuando 
circulan  por  una  red  TCP/IP  utilizan  los  puertos  137  (UDP)  y  139  (TCP).  Este  es  el  mecanismo  habitual 
de  transmision  para  los  mensajes  enviados  mediante  un  NET  SEND  o  la  API  NetMessageBufferSend.  Los 
mensajes  se  presentan  en  una  ventana  de  Windows,  con  el  titulo  “Mensajeria  de  Windows”,  con  el  texto 
del  mensaje  y  un  boton  “Aceptar”.  Al  pulsar  el  boton,  la  ventana  se  cierra.  La  mayoria  de  los  usuarios  no  se 
protegen  detras  de  ningun  cortafuegos  en  ese  momento,  y  se  encuentran  con  que,  cada  cierto  tiempo,  desde 
Internet  se  le  envia  a  traves  de  este  molesto  sistema  (que  obliga  a  aceptar  o  cerrar  una  ventana  emergente) 
anuncios  sobre  viagra  y  otros  productos.  Incluso  se  anuncian  de  esta  forma  programas  fraudulentos  que 
prometen  evitar  este  tipo  de  spam  en  el  sistema  (simples  ejecutables  que  detenian  el  servicio  en  Windows). 
Con  el  Service  Pack  2  para  Windows  XP,  Microsoft  deshabilitaria  por  defecto  el  servicio  “Mensajero”  o 
“Messenger”. 

_  En  marzo  Sendmail  vuelve  a  sufrir  una  grave  vulnerabilidad.  Las  versiones  anteriores  a  la  8.12.8  son 
susceptibles  a  un  ataque  que  permite  que  un  usuario  remoto  ejecute  codigo  arbitrario  en  el  servidor  de 
correo,  con  privilegios  de  administrador. 

_  El  estudio  “Decimalisation  table  attacks  for  PIN  cracking”  demuestra  la  vulnerabilidad  de  los 
sistemas  de  seguridad  utilizados  por  los  cajeros  automaticos  para  la  validation  de  los  PIN  asociados  a 
las  tarjetas  de  credito.  Dos  investigadores  de  la  universidad  de  Cambridge  (Reino  Unido)  presentan  un 
estudio  de  las  debilidades  existentes  en  los  dispositivos  hardware  para  el  almacenamiento  seguro  y  la 
validation  de  los  PIN  asociados  a  las  tarjetas  de  credito  utilizadas  habitualmente  por  las  instituciones 
financieras.  Citibank  intenta  ocultar  la  information,  que  finalmente  sale  a  la  luz. 

_  Marzo  de  2003  es  un  mes  especialmente  prolifico  en  cuestion  de  vulnerabilidades.  En  apenas  dos 
semanas,  se  publican  graves  vulnerabilidades  para  Sendmail,  BIND,  Flash,  Snort,  Internet  Explorer, 
WebDAV,  Windows  Script  Engine,  Samba  y  el  kernel  de  Linux. 

_  Se  descubre  la  vulnerabilidad  en  el  servicio  RCP  Endpoint  Mapper  presente  por  defecto  en  el  puerto 
TCP/135  en  Windows  NT  4.0,  2000  y  XP.  Microsoft  publica  el  parche  para  Windows  2000  y  XP,  mientras 
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que  deja  a  todos  los  sistemas  Windows  NT  vulnerables,  con  la  unica  excusa  de  que  la  solucion  en  este 
sistema  es  muy  complicada.  Es  el  principio  del  fin  para  NT. 

_  En  marzo  se  descubre  una  debilidad  en  el  protocolo  de  autenticacion  NTLM.  Todas  las  versiones 
de  Windows  utilizan  el  protocolo  SMB  para  los  servicios  de  comparticion  de  archivos  e  impresoras.  Cuando 
un  cliente  se  conecta  a  un  recurso  de  la  red,  se  utiliza  la  autenticacion  NTLM  para  enviar  las  credenciales 
de  usuario  incluyendo  la  contrasena.  Un  servidor  SMB  especialmente  manipulado  puede  utilizar  esta 
informacion  para  autenticarse  en  el  cliente,  llegando  a  poder  obtener  pleno  control  sobre  los  recursos 
compartidos  en  el  cliente. 

_  Es  el  ano  de  los  problemas  en  los  servidores  web  mas  populares.  Netcraft  supone  el  mayor  repositorio 
de  informacion  sobre  estadisticas  de  servidores  web.  En  la  encuesta  de  marzo  se  basa  en  las  respuestas 
de  casi  cuarenta  millones  de  servidores,  en  la  que  se  refleja  la  posicion  dominante  de  Apache  con  un  63% 
del  mercado.  La  Fundacion  Apache  lanza  la  voz  de  alarma  sobre  un  grave  riesgo  de  denegacion  de  servicio 
en  las  versiones  que  van  de  la  2.0  a  la  2.0.44  de  su  servidor  web.  Los  detalles  de  la  vulnerabilidad  no  se 
conocerian  hasta  el  ocho  de  abril,  pero  el  grupo  advierte  a  los  usuarios  antes  de  que  se  hagan  publicos  estos 
detalles.  Este  comportamiento  les  viene  a  redimir  ante  una  embarazosa  situacion  que  sufrio  la  Fundacion 
en  junio  de  2002,  cuando  los  detalles  de  su  peor  problema  de  seguridad  conocido  hasta  la  fecha  fueron 
publicos  antes  de  que  ellos  mismos  tuvieran  la  solucion  y  pusieran  a  disposition  de  los  usuarios  el  parche 
adecuado.  IIS  sufre  de  un  problema  de  ejecucion  de  codigo  a  traves  de  WebDAV  tambien  por  esas  fechas. 
Un  estudio  de  Netcraft  afirma  que  tres  cuartos  de  los  sitios  web  que  operan  con  este  IIS  5.0  lo  hacen  con 
el  protocolo  WebDAV  habilitado  y  por  lo  tanto  son  vulnerables  al  fallo. 

_  Alan  Ralsky,  el  rey  del  spam,  recibe  un  autentico  ataque  distribuido  de  denegacion  de  servicio.  Se 
inunda  de  basura  su  correo  fisico  postal.  En  2003  Alan  Ralsky  es  uno  de  los  personajes  mas  prolificos  en 
el  envio  de  correo  basura  a  traves  de  Internet,  con  una  larga  trayectoria  iniciada  en  1997.  En  diciembre 
de  2002  Ralsky  concedio  una  entrevista  donde  ridiculizaba  y  se  reia  de  toda  la  comunidad  contraria 
a  la  existencia  del  spam  y  que  valora  la  intimidad  de  su  buzon  de  correo.  Se  quejaba,  por  ejemplo,  del 
coste  que  le  suponia  tener  toda  su  infraestructura  en  China  ante  la  imposibilidad  de  utilizar  las  empresas 
norteamericanas.  En  esa  entrevista  cometio  el  error  de  comentar  que  su  casa  estaba  situada  en  una 
poblacion  del  estado  norteamericano  de  Michigan.  Esta  entrevista  es  reproducida  en  slashdot.org  y  uno 
de  los  lectores  encuentra  la  direccion  postal  del  domicilio  del  spammer.  De  forma  totalmente  espontanea, 
otros  lectores  utilizan  esta  direccion  para  suscribir  al  spammer  a  catalogos  comerciales,  revistas  de 
anuncios,  panfletos,  solicitudes  para  recibir  informacion,  etc...  Otros  van  mas  alia  y  le  envian  directamente 
basura  (en  el  sentido  literal  de  la  palabra). 

_  En  mayo  Fyodor,  el  autor  del  popular  “Nmap”,  publica  los  resultados  de  una  encuesta  realizada  entre 
sus  usuarios,  detallando  las  herramientas  de  seguridad  mas  utilizadas. 

_  Todos  los  medios  especializados  se  sorprenden  de  una  escena  inusualmente  realista  en  la  popular 
pelicula  The  Matrix  Reloaded.  Transcurridos  aproximadamente  dos  tercios  de  la  pelicula,  Trinity 
se  sienta  delante  del  ordenador.  En  este  punto,  en  lugar  de  aparecer  las  tipicas  pantallas  de  “acceso 
denegado”  0  “introduzca  la  contrasena”  de  aspecto  irreal,  Trinity  utiliza  Nmap,  una  potente  herramienta 
para  determinar  que  servicios  ofrece  una  maquina  conectada  en  Internet.  La  escena  es  muy  breve,  unos 
pocos  segundos,  pero  suficientes  para  reconstruirlos.  Trinity,  desde  una  sesion  root  en  una  maquina 
Unix  (identihcable  por  el  prompt  #),  utiliza  Nmap  2.54BETA25  para  identihcar  los  servicios  que  ofrece  la 
maquina  10.2.2.2.  Encuentra  el  puerto  22  (TCP),  correctamente  identificado  como  SSH.  A  continuation, 
utiliza  un  programa  llamado  sshnuke  que  muestra  este  texto  “Attempting  to  exploit  SSHvi  CRC32”.  Se 
trata  de  un  exploit  que  le  permite  cambiar  la  contrasena  del  usuario  root  del  sistema  remoto.  Si  bien  no  se 
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tiene  constancia  de  la  existencia  de  ningun  exploit  llamado  “sshnuke”,  lo  que  si  es  real  es  la  vulnerabilidad 
y  tambien  sus  efectos.  Otro  aspecto  interesante  es  la  ubicacion  temporal.  La  version  de  Nmap  utilizada 
fue  publicada  el  4  de  junio  de  2001  y  la  vulnerabilidad  que  explota  el  sshnuke,  el  8  de  febrero  de  2001.  En 


la  primera  pelicula  “The  Matrix”,  la  accion  se  situa 
temporalmente  en  1999.  Morpheus  indica,  en  la 
nueva  pelicula  que  “durante  estos  seis  meses”  (desde 
el  momento  en  que  Neo  se  transforma  en  “The 
One”)  “se  han  liberado  mas  mentes  que  en  los  seis 
anos  anteriores”.  Por  tanto,  la  accion  de  “The  Matrix 
Reloaded”  transcurre  en  un  mundo  simulado  en  los 
alrededores  del  mes  de  junio  de  2000.  Trinity  utiliza 
una  vulnerabilidad  y  una  version  de  un  producto 
todavia  no  publicados. 


En  junio  se  descubre  un  gusano  que  Simula  ser  un  test  enviado  desde  Hispasec.  El  archivo 
que  se  adjunta  en  el  correo  es  en  realidad  un  nuevo  gusano  que  esta  siendo  distribuido 
desde  Hotmail.  El  mensaje  tiene  el  siguiente  aspecto: 

Remite:  “test@hispasec.com" 

Asunto:  “Tests  antivirus  para  comprobar  la  proteccion  del  e-mail” 

Adjunto:  “eicax.com" 

Cuerpo:  “Hispasec  pone  a  disposicion  de  todos  los  usuarios  dos  tests  para  comprobar  el 
correcto  funcionamiento  de  la  proteccion  antivirus  del  correo  electronico.  El  primero  de 
ellos  nos  indicard  la  correcta  instalacion  y  buen  funcionamiento  del  antivirus,  mientras  que 
el  segundo  determinara  la  capacidad  de  deteccion  proactiva  para  identificar  gusanos 
que  explotan  vulnerabilidades  conocidas.” 

El  adjunto  tiene  un  tamano  de  180.736  bytes,  resultado  de  comprimircon  UPX  el  ejecutable 
original  de  438.784  bytes,  al  parecer  escrito  en  Delphi.  En  el  codigo  se  puede  apreciar 
como,  ademas  del  mensaje  simulando  un  envio  de  Hispasec,  se  encuentran  otros  muchos 
textos  para  construir  otros  e-mails  y  utilizarlos  como  anzuelo.  Entre  otras  tematicas,  hacen 
referencia  a  Hotmail,  Microsoft,  Madonna,  Spam,  SARS,  otros  sitios  de  informacion  sobre 
virus  y  seguridad  (ademas  de  Hispasec),  chistes,  etc.,  todos  en  espahol. 

Consigue  cierta  repercusion  en  los  pafses  de  habla  Hispana.  Obviamente  se  trata  de  un 
mensaje  falso  que  utiliza  la  imagen  de  Hispasec  como  reclamo. 


_  Se  comienza  a  observar,  de  forma  generalizada,  la  alianza  entre  spammers  y  troyanos.  El  spam 
se  multiplica,  tomando  dimensiones  de  plaga  (y  todavia  tendria  que  crecer  mucho  mas).  Se  comienza 
a  dudar  de  la  eficacia  de  los  metodos  habituales  y  poco  efectivos  que  se  vienen  utilizando  en  contra  del 
correo  basura  hasta  la  fecha.  Las  protecciones  habituales  son  poco  eficaces  e  incluso  ingenuas  ante  un 
problema  creciente.  Se  comienza  a  detectar  cada  vez  mas  el  uso  de  de  troyanos  que  tienen  como  fin  el  envio 
de  spam  desde  los  sistemas  infectados.  Al  realizarse  el  envio  de  forma  distribuida  entre  multiples  sistemas 
es  mucho  mas  complicado  identificar  todos  los  puntos  de  envio  para  introducirlos  en  las  listas  negras. 

_  En  junio  Microsoft  publica  el  Service  Pack  4  para  Windows  2000,  que  seria  el  ultimo. 
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_  En  julio,  desde  una  pagina  web  asociada  a  Zone-H  (la  web  de  los  “defacers”)  se  propone  un  concurso. 
Ganan  aquellos  que  primero  consigan  atacar  y  modificar  6.000  sitios  web  en  6  horas  o,  en  su  defecto, 
el  que  logre  la  cifra  mas  alta  en  ese  plazo  de  tiempo.  El  domingo  6  de  julio,  dla  del  concurso,  se  espera 
una  avalancha  de  paginas  desfiguradas,  los  medios  tradicionales  se  encargan  de  exagerar  la  jugada.  La 
repercusion  serla  escasa  o  nula,  entre  otras  razones  por  un  supuesto  ataque  de  denegacion  de  servicio  a  la 
propia  Zone-H.  La  organization,  participation,  y  objetivos  del  concurso  resultarlan  todo  un  fiasco. 

_  Aparece  en  julio  Migmaf,  un  troyano  que  convierte  los  PCs  en  servidores  de  paginas  pornograficas. 
Destaca  por  instalar  un  proxy  reverso  en  el  ordenador  infectado  que  redirecciona  las  peticiones  HTTP 
contra  un  servidor  central,  habitualmente  con  contenido  pornografico.  De  esta  forma,  se  consigue  ocultar 
la  ubicacion  real  de  ese  servidor  central,  impidiendo  cualquier  posible  action  de  bloqueo  de  su  contenido. 

_  En  julio  se  descubre  el  desbordamiento  de  memoria  intermedia  en  la  interfaz  RPC  de  sistemas 
Windows  que,  a  la  postre,  permitiria  la  aparicion  del  fatidico  gusano  Blaster.  Remote  Procedure  Call 
(RPC)  es  un  protocolo  usado  para  proporcionar  mecanismos  de  comunicacion  entre  procesos  de  forma 
que  un  programa  que  se  ejecute  en  un  sistema  pueda  ejecutar  codigo  en  otro  sistema  remoto  de  forma 
transparente.  La  implementation  de  Microsoft  de  este  protocolo  esta  derivada  del  protocolo  RPC  de  la 
OSF  (Open  Software  Foundation)  pero  con  la  inclusion  de  algunas  extensiones  especificas  de  Microsoft. 
En  el  caso  de  Windows,  el  servicio  RPC  esta  asociado  al  puerto  135  (TCP).  El  fallo  se  localiza  en  la  parte  de 
RPC  que  negocia  con  el  intercambio  de  mensajes  sobre  TCP/IP.  Lo  provoca  por  un  tratamiento  incorrecto 
de  mensajes  mal  construidos.  Para  explotar  esta  vulnerabilidad,  un  atacante  debe  enviar  peticiones 
especialmente  manipuladas  al  sistema  remoto  a  traves  del  puerto  135. 


En  agosto  saltan  todas  las  alarmas.  Se  comienzan 
a  recibir  informes  de  un  nuevo  gusano  que  utiliza  la 
reciente  vulnerabilidad  descubierta  en  el  mecanismo 
RPC  de  todas  las  versiones  de  Windows.  Blaster 
oscurece  el  verano  de  2003.  Uno  de  los  efectos  de 
este  gusano  es  que  provoca  el  reinicio  del  ordenador 
infectado  cada  pocos  minutos.  El  gusano  realiza 
un  barrido  de  las  direcciones  IP  con  el  objeto  de 
identificar  los  sistemas  Windows  vulnerables  (sistemas 
con  el  puerto  135  accesible).  Cuando  detecta 
la  existencia  de  un  sistema  vulnerable,  utiliza  la 
vulnerabilidad  RPC  para  abrir  una  sesion  de  la 
consola  (cmd)  accesible  de  forma  remota  a  traves 
del  puerto  4444.  Ataca  a  los  ordenadores  que  utilizan 
cualquier  version  de  Windows  del  momento.  Para  cada  direction  IP  obtenida,  el  gusano 
analiza  las  20  direcciones  IP  siguientes,  intentando  establecer  una  conexion  en  el  puerto 
135.  Si  la  conexion  es  satisfactoria,  el  gusano  utiliza  dos  exploits  diferentes  para  intentar 
infiltrarse  en  el  sistema  remoto.  El  primero  de  estos  exploits  solo  funciona  si  el  sistema  remoto 
ejecuta  Windows  2000  mientras  que  el  segundo  es  valido  en  el  caso  de  que  el  sistema 
remoto  utilice  Windows  XP.  Debido  a  que  el  gusano  no  intenta  determinar  que  version  de 
Windows  utiliza  el  sistema  remoto,  sino  que  lanza  uno  u  otro  exploit  de  forma  aleatoria,  en 
el  momento  de  enviar  el  codigo  del  exploit  puede  provocar  la  detention  inesperada  del 
proceso  SVCHOST.EXE  en  el  sistema  atacado,  lo  que  provocara  que  el  sistema  se  vuelva 
inestable.  En  estos  casos,  la  infection  no  se  concluye,  pero  el  sistema  atacado  puede 
quedar  inoperativo  y  necesitar  un  reinicio.  Si  funciona  correctamente,  se  abrira  una  sesion 
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del  interprete  de  ordenes  de  Windows,  asociada  al  puerto  4444.  Dentro  de  esta  sesion, 
el  gusano  utiliza  la  utilidad  TFTP  para  transferir  el  codigo  del  gusano  al  ordenador  recien 
atacado.  Blaster  se  convierte  en  una  verdadera  pesadilla  para  millones  de  usuarios  que 
ven  como  su  ordenador  comienza  a  reiniciarse  cada  vez  que  se  conecta  a  Internet.  La 
plaga  cobra  dimensiones  desproporcionadas. 


_  El  phishing  sigue  popularizandose.  Se  detectan  en  verano  fraudes  contra  PayPal,  BBVA...  Todavia  no 
se  califica  especificamente  de  “phishing”.  Se  usan  las  palabras  “fraude  online”. 

_  Sobig.F  se  propaga  masivamente  de  forma  tradicional,  enviandose  como  adjunto  en  un  e-mail,  y  a 
traves  de  los  recursos  compartidos  de  las  redes  locales. 


En  agosto  se  anuncia  que  los  documentos  de  Word  esconden  informacion  sensible.  El 

archivo  creado  con  Word  oculta  en  realidad  mas  datos  de  los  que  pueden  verse  a  primera 
vista:  versionesanteriores  del  documento,  rectificacioneso  los  nombresde  personas  que  han 
trabajado  en  el,  pueden  quedar  escondidos  en  el  documento  y  extraerse  posteriormente. 
El  gobierno  britanico  abandona  el  uso  de  Microsoft  Word,  en  favor  del  formato  PDF  tras 
verse  forzado  a  comparecer  en  la  Camara  de  los  Comunes  Alastair  Campbell,  director  de 
comunicacion  y  mano  derecha  de  Tony  Blair,  para  dar  mas  datos  de  cuatro  empleados 
cuyos  nombres  aparedan  ocultos  como  autores  del  informe  ya  conocido  como  “dodgy 
dossier".  Este  expediente  fue  publicado  en  febrero  de  2003  como  fruto  del  trabajo  de  la 
inteligencia  britanica  donde  se  evidenciaba  la  existencia  en  Iraq  de  armas  de  destruccion 
masiva.  Poco  tiempo  despues  se  demostro  que  el  informe  era  en  realidad  un  plagio  que 
contenia  copias  literales  de  una  antigua  tesis  de  un  estudiante  californiano  de  apenas  13 
anos  de  edad. 

Aunque  fuese  el  mas  sonado,  no  se  trataba  de  un  caso  aislado.  Un  estudio  llevado  a 
cabo  en  abril  por  Simon  Byers,  del  laboratorio  de  investigacion  de  AT&T  en  los  EE.UU 
evidencia  que  gran  parte  de  los  documentos  Microsoft  Word  publicados  en  Internet 
contienen  informacion  sensible  oculta.  Desde  nombres,  direcciones  de  e-mail,  nombres  de 
documentos  relacionados,  numeros  de  la  seguridad  social,  trayectorias  de  las  unidades 
y  carpetas  donde  estaba  almacenado  el  documento,  etc.  La  metodologla  de  Byers 
consistio  en  recolectar  100.000  documentos  Word  desde  Internet  de  forma  aleatoria.  Mas 
de  la  mitad  de  los  documentos  mantenian  entre  10  y  50  palabras  ocultas,  un  tercio  de  los 
mismos  entre  50  y  500,  y  el  10%  escondlan  mas  de  500  palabras  en  su  interior. 


_  En  septiembre  se  encuentra  una  vulnerabilidad  critica  en  Internet  Explorer  que  permite  la 
ejecucion  de  codigo  con  solo  visitar  una  pagina  web.  El  parche  acumulativo  de  agosto  no  soluciona  por 
completo  un  agujero  critico  que  permite  ejecutar  codigo  arbitrario  en  los  sistemas  con  Internet  Explorer. 
Hispasec  proporciona  algunas  demostraciones  reales  de  como  la  vulnerabilidad  sigue  existiendo,  aun 
teniendo  instaladas  todas  las  actualizaciones  disponibles  hasta  la  fecha.  El  exploit  elegido  por  Hispasec 
para  demostrar  el  fallo  pone  del  reves  la  pantalla.  Un  mes  despues,  Microsoft  soluciona  el  problema. 

_  Aparece  Swen,  un  malware  que  se  hace  pasar  por  una  actualization  de  Microsoft.  Envia  un  elaborado 
mensaje  donde  Simula  un  envio  de  Microsoft  con  un  adjunto  que  pretende  ser  una  actualization.  Logra 
enganar  a  muchos  usuarios. 
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El  15  de  septiembre,  Verisign  realiza  una  serie  de  modificaciones  en  la 
definicion  de  los  dominios  de  primer  nivel  .COM  y  .NET  sin  previo  aviso. 
Se  denominaria  “Site  Finder”.  Estos  cambios  consistieron  en  anadir 
una  entrada  comodln  para  que  cualquier  peticion  de  resolucion  de 
un  nombre  de  dominio  erroneo  fuera  automdticamente  redirigida 
hacia  un  sistema  (sitefinder.verisign.com),  donde  hay  un  servicio  de  busqueda  y  directorio 
de  paginas  web.  Las  implicaciones  de  esta  modificacion  realizada  son  mas  graves  de 
las  descritas  por  la  compania  y  afectan  en  gran  medida  al  funcionamiento  de  la  red.  El 
cambio  efectuado  por  Verisign  puede  calificarse  como  la  modificacion  mas  importante 
realizada  en  la  arquitectura  del  servicio  de  resolucion  de  nombres  desde  la  introduccion 
del  DNS. 

La  existencia  de  los  comodines  implica  que  cualquier  peticion  de  resolucion  de  nombres 
de  un  dominio  .COM  o  .NET  siempre  resultara  satisfactoria,  con  independencia  de  la 
existencia  real  de  ese  dominio.  Si  el  dominio  esta  registrado,  el  cambio  efectuado  por 
Verisign  no  afecta  en  absoluto  a  la  resolucion.  Continuara  siendo  delegada  en  los 
servidores  de  nombres  asociados  al  dominio.  La  comunidad  no  tarda  en  responder. 
Ademas  de  las  iniciativas  para  pedir  la  inmediata  suspension  del  servicio,  se  plantea  el 
desarrollo  de  sistemas  para  la  circunvalacion 
de  los  comodines  en  los  dominios  de  primer 
nivel.  El  ISC  (Internet  Software  Consortium), 
que  desarrollo  el  servidor  de  nombres  BIND 
anuncia  que  en  breve  facilitara  un  parche  para 
inhabilitar  el  cambio  efectuado  por  Verisign. 

Finalmente,  tras  muchas  protestas,  el  rechazo 
de  la  comunidad  y  varias  grandes  empresas, 
la  intervencion  de  ICANN  y  las  demostraciones 
de  que  una  modificacion  asf  supone  un  ultraje 
para  los  internautas,  pocas  semanas  despues  el 
servicio  se  retira.  Verisign  insistiria  poco  despues, 
sin  finalmente  llevarlo  a  cabo,  en  relanzarlo. 
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_  En  octubre  Valve,  compania  desarrolladora  de  Half  Life  y  “Counter  Strike”,  “Team  Fortress”  o  “Day  of 
Defeat”  confirma  la  noticia:  el  codigo  fuente  de  la  segunda  parte  de  su  esperado  juego,  aun  en  desarrollo, 
habia  sido  robado  y  difundido  por  la  red.  Al  parecer  alguien  habia  instalado  un  registrador  de  teclas  en  el 
equipo  del  fundador  de  la  compania. 

_  En  noviembre,  las  nuevas  versiones  “I”  y  “J”  del  gusano  Mimail  simulan  ser  un  mensaje  del  servicio 
PayPal  y  solicitan  al  usuario  datos  sensibles  sobre  su  tarjeta  de  credito.  Utiliza  el  formato  de  compresion 
ZIP  para  distribuirse,  lo  que  le  permite  traspasar  la  mayoria  de  fltros  perimetrales  basados  en  extensiones 
potencialmente  peligrosas.  Se  acercan  timidamente  a  lo  que  seria  el  malware  2.0. 

_  Se  destapa  el  intento  de  instalar  una  puerta  trasera  en  el  kernel  Linux.  Un  analisis  rutinario 
automatico  del  codigo  fuente  de  la  ultima  version  del  kernel  Linux  (2.6-test)  descubre  el  intento  de  implantar 
una  puerta  trasera  en  el  micleo.  Permitiria  a  un  atacante  local  obtener  privilegios  de  administrador  0  root 
con  la  ejecucion  de  una  funcion  aparentemente  inocua  y  de  uso  normal.  El  fichero  alterado  fue  “kernel/ 
exit.c”,  y  constaba  de  apenas  dos  lineas  de  codigo  fuente.  Estuvo  disponible  para  descarga  varias  horas. 
Despues  del  incidente  se  reforzaron  las  medidas  de  seguridad  de  acceso  al  codigo. 
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_  Tambien  en  noviembre  se  conoce  que  cuatro  maquinas  del  Proyecto  Debian  han  sido 
comprometidas,  aunque  se  insistia  en  que  las  fuentes  del  archivo  principal  no  habian  sufrido  ningun 
incidente. 

_  Las  redes  inalambricas  se  popularizan.  Un  estudio  realizado  por  la  multinacional  informatica  HP 
demuestra  la  carencia  de  seguridad  en  las  redes  inalambricas  madrilenas  en  particular  y 
espanolas  en  general.  Los  investigadores  de  HP  realizan  un  recorrido  por  las  calles  con  un  vehiculo,  un 
ordenador  portatil  con  tarjeta  Wi-Fi,  un  software  de  deteccion  de  redes  y  una  antena  omnidireccional 
(actividad  que  se  daria  a  conocer  como  wardriving).  Con  este  metodo  pudieron  detectar  cerca  de  7.500 
ordenadores  y  sistemas  conectados  a  518  puntos  de  acceso  inalambrico  desprotegidos,  constatando  que 
cerca  del  diez  por  ciento  eran  de  grandes  empresas.  “Creemos  que  no  se  conocen  bien  los  riesgos  de  un 
punto  de  acceso  mal  configurado  y  sin  seguridad”,  comentaban  desde  HP. 


La  noticia  de  una-al-dia  del  28  de  diciembre,  titulada  “Windows  XP:  sobrevivir  al  primer 
dia”,  se  convierte  en  una  de  las  mas  visitadas  de  siempre,  incluso  en  2008  sigue  teniendo 
cientos  de  visitas  al  dia.  Habla  de  como  actuar  ante  la  instalacion  de  Windows  XP  en  un 
sistema  y  como  conectarlo  a  Internet  de  forma  segura  antes  de  que  Blaster  infectase  el 
ordenador. 


Una  al  dia 


03/02/2003  Antivirus:  el  efecto  “zoo” 

A  la  pregunta  de  “icual  seria  el  mejor  antivirus?”,  una  respuesta  bastante  obvia  seria  “el  que  detecte 
todos  los  virus”.  Afortunadamente  atras  quedaron  las  campanas  de  publicidad  enganosas  que  prometian 
proteccion  100%  contra  virus  conocidos  y  desconocidos.  Asi  que  hoy  dia,  demostrado  una  y  otra  vez  que  no 
pueden  ofrecer  garantias  de  proteccion  proactiva  contra  especimenes  nuevos,  la  respuesta  podria  quedar 
en  “el  que  detecte  mas  numero  de  virus”.  Falso.  Es  mas,  el  enfoque  de  “cuantos  mas,  mejor”  nos  conduce 
de  forma  irreversible  hacia  peores  productos  antivirus.  f.Hora  de  cambiar? 

En  este  articulo  no  pretendo  entrar  en  nuevas  tecnologias  proactivas  que  podrian,  sino  sustituir  de  inmediato, 
al  menos  complementar  los  actuales  sistemas  por  deteccion  de  firmas.  Ya  no  solo  como  evaluador,  sino 
como  desarrollador  en  Hispasec  de  algunas  pruebas  de  concepto  sobre  nuevas  tecnologias  antivirus,  soy 
consciente  de  que  aun  queda  mucho  camino  por  recorrer  antes  de  que  puedan  equipararse  a  los  sistemas 
actuales  en  cuanto  a  fiabilidad  y  facilidad.  Esto  no  quita  que  existan  algunas  funcionalidades  proactivas 
que  no  estarian  de  mas  en  los  actuales  antivirus,  y  que  algunas  casas  ya  empiezan  a  implementar. 

En  definitiva,  se  trata  de  analizar  el  efecto  negativo  que,  en  los  actuales  sistemas  antivirus  de  deteccion  por 
firmas,  provoca  algunas  practicas  que  persiguen  adulterar  y  engordar  de  forma  artificial  las  estadisticas 
de  virus  reconocidos  de  cara  a  la  galena. 

Las  colecciones  “zoo” 

En  la  mayoria  de  certificaciones  y  comparativas  se  suele  enfrentar  los  productos  antivirus  contra  varias 
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colecciones  de  muestras  infectadas.  El  porcentaje  de  aciertos  en  las  diferentes  colecciones  suele  ser  el 
indicador  mas  determinante  a  la  hora  de  valorar  un  producto. 

Las  colecciones  pequenas,  de  virus  mas  significativos  y  activos,  como  la  “InTheWild”,  apenas  presentan 
diferencias  de  resultados  entre  la  mayoria  de  los  productos  y,  mas  que  un  indicador  comparative,  sirve 
como  minimo  exigible. 

Para  marcar  diferencias  en  las  comparativas,  y  tambien  como  prueba  de  fuego  en  las  certificaciones,  se 
suele  utilizar  la  llamada  coleccion  “zoo”,  que  basicamente  consiste  en  un  conjunto  de  todas  las  muestras 
infectadas  que  se  posee. 

La  “zoo”  comprende,  ademas  de  los  virus  mas  relevantes  y  novedosos,  toda  muestra  que  el  evaluador  haya 
conseguido  recolectar  a  lo  largo  de  su  carrera,  desde  los  primeros  virus  que  aparecieron,  de  los  que  hoy  dia 
ya  no  existen  pruebas  de  infecciones  reales,  hasta  aquellos  que  nunca  han  visto  la  luz  ni  infectado  a  nadie, 
pero  que  forman  parte  de  pruebas  de  laboratorio  o  colecciones  privadas. 

Llegados  a  este  punto,  el  usuario  debe  ser  consciente  que  de  los  60.000  0  70.000  virus  que  hoy  dia  algunos 
antivirus  afirman  detectar,  tan  solo  unos  cientos  representan  el  99%  de  las  infecciones  reales  durante  un 
ano. 

La  necesidad  de  que  un  antivirus  detecte  un  virus  de  los  anos  80  que  hoy  dia  no  tiene  posibilidades  de 
propagation  bajo  Windows,  o  un  virus  que  nunca  ha  salido  a  la  luz  y  no  ha  infectado  a  nadie,  puede  llegar 
a  ser  discutible.  Aunque  las  comparaciones  y  extrapolaciones  en  este  campo  no  son  buenas,  es  como  si 
alguien  se  vacunara  contra  una  enfermedad  ya  erradicada  o  contra  un  virus  biologico  de  laboratorio,  por 
si  algun  dia  resulta  que  hay  un  brote. 

Pero  la  realidad  es  que  la  posibilidad,  por  remota  que  sea,  existe,  y  el  deber  de  un  antivirus  es  ofrecer  el 
mayor  grado  de  protection  posible,  en  especial  si  se  trata  de  virus  conocidos.  Asi  que  hasta  el  momento, 
nada  que  objetar. 

Adulteraciones  en  las  “zoo” 

El  problema  real  de  las  colecciones  “zoo”  es  que  no  estan  depuradas.  Es  decir,  existen  muestras  consideradas 
virus  (o  cualquier  otra  variante  de  malware,  como  gusanos,  troyanos,  etc.)  que  en  realidad  no  lo  son,  ni 
presentan  ningun  efecto  nocivo  ni  danino.  En  definitiva,  no  tendrian  que  formar  parte  de  la  coleccion,  ni 
tendrian  que  ser  detectadas  por  los  antivirus. 

Para  la  confection  de  las  propias  comparativas  antivirus  de  Hispasec,  revistas  especializadas,  asi  como 
para  analisis  e  informes  tecnicos,  necesitamos  contar  con  el  mayor  numero  de  muestras  posibles  para 
realizar  nuestro  trabajo.  Entre  otras  fuentes,  regularmente  recorremos  las  webs  de  creadores  de  virus  y 
coleccionistas  que  permiten  la  descarga  de  muestras  de  forma  publica  a  traves  de  Internet  y,  por  tanto,  son 
especimenes  que  potencialmente  podrian  llegar  a  cualquier  usuario. 

Una  de  las  tareas  mas  tediosas  para  mantener  la  coleccion  de  muestras  de  Hispasec  no  es  la  recoleccion, 
sino  la  comprobacion  de  las  mismas.  Afortunadamente  a  lo  largo  de  los  anos  hemos  desarrollado  varias 
herramientas  que  de  forma  automatica  nos  hacen  las  primeras  cribas  y  son  capaces  de  descubrir  las 
muestras  falsas  mas  comunes. 

Sin  embargo,  son  muchas  las  comparativas,  incluida  algunas  certificaciones,  que  a  juzgar  por  algunos 
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resultados  no  realizan  una  depuration  de  las  colecciones.  Como  resultado,  sus  colecciones  “zoo”  estan 
adulteradas  con  muestras  que  no  son  virus,  y  ello  se  extrapola  a  los  indicadores  que  obtienen  los  diferentes 
productos  antivirus. 

Lo  peor  aun  es  que  la  mayoria  de  las  casas  antivirus,  tal  vez  condicionadas  por  estas  comparativas  y 
certificaciones  donde  se  podian  ver  perjudicadas,  han  optado  por  incluir  en  su  base  de  datos  de  firmas 
esas  falsas  muestras  como  si  fueran  autenticos  virus.  Otra  posibilidad  podria  ser  la  inversa,  que  las  casas 
antivirus  hubieran  sido  las  primeras  en  incorporarlos  como  virus  a  sus  bases  de  datos  y  que  las  comparativas 
los  incluyeran  a  posteriori  en  sus  colecciones  al  comprobar  que  algun  antivirus  las  reconocian  como  virus. 
Independientemente  de  si  fue  primero  el  huevo  o  la  gallina,  el  caso  es  que  el  circulo  vicioso  no  hace  mas 
que  aumentar. 

Como  dato,  durante  la  comparativa  antivirus  que  lleve  a  cabo  en  1999  para  PCActual  e  Hispasec,  introduci 
un  test  inedito  hasta  la  fecha,  que  consistio  en  enfrentar  a  los  antivirus  contra  una  serie  de  archivos 
representatives  que  habian  quedado  fuera  de  nuestra  coleccion  durante  las  cribas  de  recopilacion  al 
comprobarse  que  no  eran  virus  reales.  Los  resultados  son  reveladores: 
http://www.hispasec.com/comp_avs.asp9kU25 

En  realidad  hay  muchos  otros  tipos  de  muestras  que  suelen  ser  incluidas  en  las  bases  de  datos  de  firmas 
antivirus  y  que  en  realidad  no  tienen  ningun  efecto  danino,  desde  binarios  que  ni  siquiera  pueden  llegar  a 
ejecutarse,  porciones  de  virus  que  estan  corruptos  y  no  pueden  activarse,  etc. 

El  efecto  “zoo” 

dComo  repercute  el  numero  de  firmas  que  reconoce  un  motor  antivirus  en  su  rendimiento?  Parece  claro 
que  existe  una  relation  directa,  a  mayor  numero  de  firmas  a  chequear,  mayores  recursos  necesitara,  y  la 
velocidad  de  proceso  sera  menor,  lo  que  perjudica  al  resto  de  procesos  0  aplicaciones  que  existan  en  el 
sistema. 

El  hecho  de  que  los  antivirus  reconozcan  virus  falsos,  ademas  de  la  publicidad  enganosa  que  pueda  generar 
o  la  busqueda  de  buenos  resultados  artificiales  en  comparativas  y  certificaciones  de  dudosa  calidad,  tiene 
un  efecto  negativo  en  el  comportamiento  del  propio  antivirus  que  puede  penalizar  el  rendimiento  del 
sistema  e  incluso  hacer  peligrar  la  seguridad  del  cliente. 

La  solution  aunque  pueda  parecer  sencilla,  bastaria  con  depurar  las  firmas  de  detection  de  los  antivirus, 
tiene  efectos  negativos  inmediatos  a  nivel  comercial:  podrian  verse  perjudicados  en  comparativas  y 
certificaciones  que  cuenten  con  muestras  falsas.  Es  la  pescadilla  que  se  muerde  la  cola. 

Las  casas  antivirus  se  encuentran  en  muchas  ocasiones  en  la  encrucijada  de  disenar  sus  productos 
pensando  en  la  protection  real  del  usuario  o  en  los  requisitos  de  los  evaluadores.  Paradojicamente,  ademas 
de  no  coincidir  en  algunas  ocasiones,  pueden  existir  incluso  intereses  opuestos.  Normalmente  se  opta  por 
un  punto  intermedio,  intentar  acometer  los  requerimientos  de  ambos,  aunque  a  costa  del  detrimento  en 
la  optimization  del  producto. 

Llegados  a  este  punto,  no  debemos  caer  en  la  tentacion  de  arrojar  sobre  las  espaldas  de  las  casas  ntivirus 
toda  la  responsabilidad.  De  hecho,  buena  parte  de  esta  perception  erronea  de  lo  que  debe  ser  un  buen 
antivirus  es  achacable  a  las  revistas  especializadas  y  analistas  que  nos  dedicamos  a  crear  opinion  sobre 
las  soluciones  antivirus. 


Una  al  dia.  Once  anos  de  seguridad  informatica  -  2003  - 


131 


Si  mas  de  una  vez  he  dicho  que  muchos  productos  antivirus  se  encuentran  anclados  en  el  pasado,  por  no 
integrar  nuevas  tecnologias  de  deteccion  mas  alia  de  las  firmas,  las  comparativas  y  certificaciones  estan 
mucho  peor.  Uno  de  los  casos  mas  sonados  fue  el  de  la  comparativa  antivirus  de  CNET  en  2001,  entre 
otros  despropositos,  llegaron  a  utilizar  simuladores  de  virus  en  vez  de  muestras  reales  para  algunos  tests. 
Por  lo  demas,  la  mayoria  siguen  basando  su  modelo  de  evaluation  en  arcaicas  pruebas  de  deteccion  ITW 
y  Zoo. 

Soluciones 

Las  comparativas  y  certificaciones  deben  de  evolucionar,  incluyendo  nuevos  tests  acorde  con  las 
caracteristicas  de  las  nuevos  especimenes  que  aprovechan  Internet  para  su  propagation,  asi  como 
evaluaciones  que  contemplen  las  nuevas  tecnologias  antivirus  que  se  estan  incorporando.  Por  otro  lado, 
deberian  de  incorporar  mecanismos  para  la  depuration  de  sus  colecciones  para  evitar  el  efecto  “zoo”, 
incluyendo  tests  de  deteccion  de  falsos  virus  cuyos  indicadores  se  relacionen  con  tests  de  rendimiento  del 
motor. 

Los  antivirus  deberian  de  dejar  de  utilizar  el  concepto  de  numero  de  virus  detectados  como  arma  de 
marketing,  ya  que  no  tiene  ningun  sentido  que  sigan  en  una  guerra  de  cifras  que  de  sobra  saben  no  tiene 
ningun  valor  real  y  que  tarde  o  temprano  terminara  por  perjudicarles.  Ademas,  deberian  optimizar  su 
base  de  datos  de  firmas  para  reconocer  solo  los  especimenes  que  realmente  pueden  llevar  a  cabo  acciones 
daninas,  eliminando  los  falsos  virus.  En  caso  de  verse  perjudicados  en  comparativas  o  certificaciones 
que  utilicen  colecciones  “zoo”  no  depuradas,  con  muestras  falsas,  deberian  denunciar  publicamente  los 
resultados. 

Los  usuarios  deben  de  tomar  conciencia  de  que  el  numero  total  de  virus  que  dice  reconocer  un  antivirus 
es  un  dato  sin  ningun  valor.  Ademas  de  todo  lo  comentado  con  anterioridad  respecto  a  los  falsos  virus, 
la  propia  tecnologia  de  deteccion  por  firmas  lleva  a  resultados  dispares.  Por  ejemplo,  dado  10  variantes 
de  un  mismo  virus,  un  producto  puede  necesitar  10  firmas  diferentes  mientras  otro  puede  detectar  las  10 
variantes  de  forma  mas  generica  con  solo  2  firmas.  A  efectos  de  marketing,  el  primero  sumara  10  virus 
mientras  que  el  segundo  contara  solo  2,  sin  embargo  la  deteccion  del  segundo  producto  es  mas  generica  y 
efectiva.  Tan  solo  las  comparativas  con  colecciones  depuradas  pueden  ofrecer  las  diferencias  reales  entre 
el  poder  de  deteccion  de  los  distintos  motores  antivirus,  nunca  el  numero  de  virus  que  el  propio  producto 
anuncia. 


Bernardo  Quintero 


28/03/2003  Antivirus:  oespecializacion  o  navaja  suiza? 

Filtros  de  contenidos,  firewalls,  y  ahora  funcionalidades  anti-spam  y  detector  de  intrusiones.  Cada  vez  son 
mas  los  antivirus  que  dejan  de  ser  herramientas  especializadas  en  la  deteccion  del  malware  y  amplian  sus 
funciones. 

La  carrera  por  la  integration  de  aplicaciones  de  seguridad  ha  comenzado.  Las  casas  antivirus  estan  en 
una  espiral  de  crecimiento  a  la  busqueda  de  poder  ofrecer  soluciones  completas,  tanto  productos  como 
servicios,  que  puedan  abarcar  todas  las  necesidades  de  seguridad  de  empresas  y  usuarios  finales.  En  este 
ultimo  sector  es  donde  aparecen  en  escena  las  suites  de  seguridad,  partiendo  del  nucleo  del  antivirus 
como  herramienta  con  mayor  implantation  y  exito  en  el  mercado. 
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Que  las  amenazas  de  seguridad  han  aumentado  y  mutado  con  respecto  a  epocas  pasadas  es  evidente.  Hoy 
dia  la  instalacion  de  un  antivirus  clasico  no  garantiza  la  seguridad  de  un  sistema,  han  surgido  nuevas 
amenazas  que  van  mas  alia  de  los  virus.  De  igual  forma,  la  propia  evolution  del  malware,  en  estrecha 
relation  con  Internet,  pone  en  entredicho  la  detection  basada  en  firmas  y  requiere  nuevas  estrategias  para 
detectar  de  forma  mas  proactiva  y  generica  a  los  nuevos  especlmenes  con  gran  poder  de  propagation  en 
apenas  minutos. 

Llegados  a  este  punto  surgen  algunas  dudas,  partiendo  de  la  relativa  necesidad  de  ciertas  funcionalidades, 
o  de  la  falta  de  otras,  hasta  la  pregunta  de  (‘'.solution  integrada  y  compacta,  o  productos  especializados  e 
independientes?. 

Es  un  hecho  que  la  incorporation  de  nuevas  funcionalidades  no  siempre  responde  a  las  necesidades  reales 
de  seguridad,  en  ocasiones  vienen  a  encarecer  el  producto,  complicar  su  uso,  a  requerir  mas  recursos  de 
sistema,  y  a  perjudicar  el  rendimiento  global. 

A  su  favor,  estas  soluciones  compactas  de  seguridad  evitan  problemas  de  incompatibilidad  e  interferencias 
que  pueden  surgir  entre  productos  independientes  y  terceras  marcas,  ademas  de  ofrecer  una  verdadera 
integration  entre  las  diferentes  funcionalidades  desde  un  unico  interfaz,  y  un  precio  mas  ajustado  en  el 
caso  de  adquirir  todas  las  funcionalidades  en  forma  de  productos  independientes. 

Si  miramos  a  las  redes  corporativas  se  imponen  los  productos  especializados,  tanto  en  servidores  como 
estaciones  de  trabajo.  Para  los  servidores  es  vital  contar  con  productos  configurables  segun  requisites 
especificos,  de  alto  rendimiento,  estabilidad,  y  demostrada  fiabilidad.  En  este  perfil  los  productos  “todo  en 
uno”  no  encajan,  ademas  que  es  preferible  no  hipotecar  toda  la  seguridad  corporativa  en  un  unico  producto 
o  marca.  Lo  normal  en  estos  casos  es  contar  con  varios  productos  independientes  de  casas  especializadas 
en  las  distintas  areas:  firewall,  antivirus  con  mas  de  un  motor,  IDS,  etc.,  dotando  al  sistema  de  multiples 
capas  de  protection  independientes.  En  estos  casos  las  dificultades  de  integration  quedan  compensadas 
con  el  resultado  final,  gracias  a  la  labor  de  los  administradores  de  sistemas  y  personal  especializado  en 
seguridad. 

En  las  estaciones  de  trabajo  corporativas  podria  parecer  en  un  principio  que  encajan  mejor  las  suites  de 
seguridad  compactas,  si  bien  el  problema  en  este  punto  se  situa  en  la  necesidad  de  productos  sencillos, 
instalacion  distribuida,  de  configuration  o  para  el  usuario  final,  y  de  total  administration  centralizada 
y  remota.  Las  ultimas  versiones  de  los  antivirus  con  funciones  extras  dejan  mucho  que  desear  en  este 
apartado  (por  ejemplo  los  que  incorporan  firewall  personal),  por  lo  que  finalmente  los  administradores 
optan  por  la  instalacion  de  motores  antivirus  muy  ligeros,  que  consumen  pocos  recursos  para  no  tener 
problemas  ante  un  parque  heterogeneo  de  sistemas,  y  atendiendo  a  las  facilidades  de  gestion  en  red. 

Parece  claro  que  el  destino  de  las  soluciones  compactas  esta  mas  ligado  a  los  usuarios  finales,  si  bien 
es  necesario  reinventar  estos  productos,  ya  que  las  necesidades  de  un  usuario  de  a  pie  no  se  cubren 
adquiriendo  e  integrando  tecnologias  clasicas  (firewalls,  IDS,  etc.),  aunque  tal  vez  sea  este  el  camino  mas 
comodo  y  seguro  para  los  desarrolladores,  a  corto  plazo.  Las  casas  de  seguridad  han  de  ser  conscientes 
que  este  tipo  de  tecnologias  clasicas  vienen  a  requerir  mas  conocimientos  e  interactividad  por  parte  del 
usuario,  quienes  demandan  todo  lo  contrario:  algo  que  apenas  se  note  y  que  no  necesite  de  su  atencion. 

Partiendo  de  la  sencillez  de  instalacion,  configuration  y  uso  de  los  productos  compactos,  es  de  esperar 
de  estas  soluciones  una  mayor  adecuacion  a  las  necesidades  reales  de  los  usuarios  finales  (problemas 
de  configuration,  instalacion  de  parches,  criptografia  aplicada  a  los  mensajes  y  documentos,  etc.),  sin 
perder  las  posibilidades  de  personalization  segun  cada  perfil.  Por  ejemplo,  partiendo  de  la  compra  de  un 
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antivirus,  poder  adquirir  modulos  adicionales,  segun  necesidades,  a  modo  de  plugins  en  linea.  Lo  que  se 
traduciria  en  una  configuration  mas  ajustada,  tanto  en  requerimientos,  funcionalidades  y  precio. 

Bernardo  Quintero 


28/04/2003  Virus,  antivirus,  y  sensacionalismo  mediatico 

A  lo  largo  de  la  historia  los  creadores  de  virus  han  explotado  los  temas  de  maxima  actualidad  en  sus 
especimenes,  bien  como  reclamo  para  llamar  la  atencion  de  los  usuarios  y  conseguir  asi  mayor  numero 
de  infecciones,  bien  para  aumentar  las  probabilidades  de  que  su  creation  fuera  motivo  de  noticia  en  los 
medios.  Aunque  la  mayoria  de  las  companias  antivirus  procuran  llevar  una  politica  seria  de  information 
sobre  virus,  en  ocasiones  tambien  se  han  dejado  arrastrar  por  el  sensacionalismo  en  la  busqueda  de  una 
publicidad  facil,  barata  y,  en  la  mayoria  de  las  ocasiones,  desproporcionada. 

Hace  unos  dias  hemos  podido  asistir  al  ultimo  “virus  mediatico”,  en  la  forma  de  un  gusano  que  aprovecha 
como  reclamo  la  epidemia  de  neumonia  atipica,  simulando  ser  un  mensaje  con  information  relativa  a 
esta  enfermedad  para  enganar  a  los  usuarios.  Bautizado  por  las  casas  antivirus  como  “Coronex”,  se  envia 
por  e-mail  utilizando  diferentes  asuntos  y  nombres  de  archivo  con  terminos  como  SARS  (Severe  Acute 
Respiratory  Syndrome)  0  Corona  virus,  haciendo  referenda  a  la  enfermedad  de  la  neumonia  atipica. 

El  gusano  nunca  habria  salido  a  la  luz  por  su  peligrosidad,  ya  que  no  lleva  a  cabo  ninguna  action  danina 
en  los  sistemas  mas  alia  de  intentar  propagarse,  ni  por  su  nivel  de  propagation,  hasta  el  momento  muy 
baja,  tendiendo  a  nula  segun  los  indicadores  de  las  propias  casas  antivirus.  Sin  embargo,  hemos  podido 
tener  conocimiento  de  el  a  traves  de  diversos  medios,  con  titulares  donde  se  mezcla  la  enfermedad  de  la 
neumonia  con  los  virus  informaticos,  la  unica  verdadera  razon  por  la  que  se  ha  conocido. 

En  esta  ocasion  todas  las  noticias  hacian  referencia  a  la  casa  antivirus  Sophos,  que  se  ha  encargado  de 
“advertir”  sobre  este  nuevo  gusano.  No  deja  de  ser  paradojico  que  en  la  nota  publicada  por  Sophos  se 
pidiera  al  resto  de  casas  antivirus  responsabilidad  a  la  hora  de  informar  sobre  este  gusano  para  evitar 
posibles  confusiones.  La  realidad  es  que  ellos  han  sido  los  unicos  hasta  el  momento  que  han  dedicado  una 
nota  especial  a  este  especimen,  dando  lugar  a  noticias  sobre  un  gusano  que,  fuera  del  sensacionalismo 
mediatico,  no  tendria  que  estar  siendo  motivo  de  noticia  alguna. 


Bernardo  Quintero 


13/06/2003  Microsoft  y  el  mercado  antivirus 

El  pasado  martes,  10  de  junio,  Microsoft  distribuia  una  nota  de  prensa  donde  anunciaba  la  adquisicion  de 
la  tecnologia  antivirus  de  GeCAD  Software,  un  peso  pluma  en  el  mercado  de  la  seguridad.  La  expectation 
ante  este  movimiento  es  maxima,  sobre  todo  entre  las  casas  antivirus,  a  la  espera  de  conocer  las  intenciones 
y  planificacion  de  Microsoft  en  este  terreno. 

La  nota  de  prensa  de  Microsoft  es  lo  suficientemente  ambigua  como  para  mantener  la  incertidumbre.  Por 
un  lado  habla  de  aprovechar  los  conocimientos  y  experiencia  de  GeCAD  para  dotar  a  la  plataforma  de 
Windows  de  nuevas  funcionalidades  que  aumenten  y  faciliten  la  integration  de  soluciones  antivirus  de 
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terceros,  pero  por  otro  lado  no  se  descarta  que  Microsoft  termine  por  ofrecer  su  propio  motor  antivirus 
basandose  en  el  producto  de  GeCAD. 

Si  a  esta  ultima  posibilidad  se  le  une  la  tendencia  de  Microsoft  a  integrar  en  Windows  los  productos  que 
pueden  tener  una  competencia  dominante  en  el  mercado  (recordar  los  casos  de  Internet  Information 
Server  o  Internet  Explorer),  no  es  de  extranar  el  revuelo  que  la  nota  de  prensa  causo  entre  las  firmas 
antivirus. 

Experiencias  anteriores 

El  escenario  no  seria  nuevo,  en  1993  Microsoft  hizo  una  incursion  en  este  mercado  con  MSAV  (Microsoft 
Anti-Virus)  que  distribuia  junto  a  la  version  6.0  de  MS-DOS.  El  antivirus  de  Microsoft  era  una  version  de 
CPAV  (Central  Point  Anti-Virus),  un  producto  con  solera  en  aquellos  anos  que  finalmente  seria  adquirido 
por  Symantec. 

El  resultado  fue  nefasto,  MSAV  quedaba  fuera  de  juego  en  poco  tiempo  por  una  mala  politica  de 
actualizaciones  que  lo  situo  en  clara  desventaja  respecto  a  sus  competidores.  En  una  comparativa  realizada 
en  enero  de  1995,  con  la  participation  de  mas  de  20  productos,  MSAV  quedaba  en  ultimo  lugar  con 
resultados  muy  pobres  en  todos  los  apartados,  incluyendo  indices  mas  que  preocupantes  en  la  detection 
de  la  coleccion  In-The-Wild  (los  virus  mas  extendidos). 

En  esa  misma  comparativa  CPAV,  que  seguia  su  desarrollo  y  mantenimiento  independiente  a  MSAV, 
consiguio  resultados  muy  por  encima  a  la  solution  de  Microsoft.  MSAV  desaparecio  con  la  entrada  en 
juego  de  Windows  95. 

Extrapolando  esta  experiencia  a  la  situation  actual,  Microsoft  al  menos  puede  estar  seguro  de  que  el 
antivirus  de  GeCAD  no  podra  superarle  en  ningun  caso,  ya  que  ha  adquirido  tanto  el  producto,  RAV 
antivirus,  como  a  su  equipo  de  desarrollo  y  mantenimiento,  incluyendo  en  el  acuerdo  clausulas  para 
impedir  que  puedan  desarrollar  otras  soluciones  antivirus.  Con  respecto  a  los  problemas  de  actualization 
con  que  se  toparon  en  MSAV,  hoy  dia  no  seria  mayor  problema,  teniendo  en  cuenta  que  Microsoft  se  ha 
convertido  en  el  rey  del  parche  con  Windows  Update  y,  ademas,  ya  cuentan  con  un  publico  sumiso  a  la 
necesidad  de  las  actualizaciones  continuas. 

RAV  antivirus  de  GeCAD,  ique  ha  comprado  Microsoft? 

Definitivamente  Microsoft  no  ha  comprado  tecnologia  de  ultima  generation,  RAV  es  un  antivirus  clasico 
de  detection  por  firmas,  que  no  destaca  por  su  innovation  o  funcionalidades  proactivas.  Eso  si,  todo  indica 
que  en  los  ultimos  tiempos  han  inflado  sus  cifras  incluyendo  todo  tipo  de  firmas,  lo  que  en  comparativas 
basadas  en  porcentajes  de  detection  en  colecciones  zoo  puede  dar  una  falsa  sensation  de  buen  producto. 

Particularmente  no  he  evaluado  RAV  antivirus  desde  el  ano  2000,  cuando  participo  en  la  comparativa 
de  Hispasec  de  ese  ano,  quedando  fuera  de  la  lista  de  los  10  mejores  productos  antivirus  tras  obtener  un 
pesimo  17,32%  de  detection  en  la  coleccion  de  troyanos. 

Tras  el  anuncio  de  Microsoft  he  descargado  e  instalado  la  ultima  version  de  RAV,  y  lo  que  primero  destaca 
es  la  cifra  de  mas  de  79.000  especimenes  de  malware  que  afirma  identificar.  Esta  cifra  tan  elevada,  muy 
por  encima  de  productos  destacados  en  el  sector,  apunta  a  que  RAV  es  un  claro  exponente  del  “efecto  zoo” 
(producto  que  artificialmente  aumenta  el  numero  de  virus  detectados  incluyendo  firmas  innecesarias  con 
el  unico  fin  de  alcanzar  buenos  resultados  en  comparativas,  certificaciones  y  en  la  publicidad  basada  en 
numeros  cuantitativos). 
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De  las  sospechas  a  las  evidencias.  Enfrentado  contra  una  coleccion  de  falsos  virus,  RAV  detecta  muchas 
muestras  que  en  realidad  no  pueden  causar  dano  alguno,  desde  archivos  danados  que  no  se  pueden 
ejecutar,  a  los  que  RAV  identifica  con  el  sufijo  “remnants”,  pasando  por  la  deteccion  de  simples  magazines 
sobre  virus,  herramientas  clientes  de  seguridad  y  hacking,  o  muestras  que  suelen  formar  parte  de  las 
colecciones  ZOO  no  depuradas,  pero  que  en  realidad  no  pueden  ser  clasificadas  como  malware. 

Llegados  a  este  punto,  cabria  preguntarse  porque  Microsoft  ha  escogido  a  GeCAD.  Bien  porque  se  ha 
dejado  llevar  por  los  cantos  de  sirena  de  sus  cerca  de  80.000  virus  que  anuncia  detectar,  bien  porque 
buscaba  en  la  section  oportunidades  y  la  empresa  rumana  era  de  las  mas  baratas  en  comparacion  con 
otras  que  ya  cuentan  con  un  buen  posicionamiento  en  el  mercado,  bien  porque  no  queria  irrumpir  en 
el  mercado  como  un  elefante  en  una  cacharreria  y  buscaba  un  peso  pluma  para  no  tener  que  elegir  y 
decantarse  por  alguna  de  las  grandes. 

Si  realmente  lo  unico  que  queria  era  un  antivirus  clasico  basado  principalmente  en  la  deteccion  por  firmas 
y  su  base  de  datos  historica,  la  election  en  lo  economico  no  es  mala,  ya  que  la  tecnologia  es  relativamente 
simple  y  similar  en  cualquiera  de  los  productos  y  RAV/GeCAD  debe  ser  con  mucha  diferencia  la  option 
mas  barata  que  puede  adquirir  a  dia  de  hoy. 

Si  lo  que  pretendia  era  dar  un  vuelco  a  la  seguridad  de  Windows  con  respecto  a  los  virus  y  gusanos  que  les 
azotan,  la  compra  del  antivirus  de  GeCAD  sirve  de  muy  poco.  Microsoft  puede  mejorar  mucho  en  la  lucha 
contra  el  malware  si  realiza  modificaciones  en  la  base,  ya  que  presenta  muchas  debilidades  por  diseno.  Pero 
integrar  en  Windows  un  antivirus  basado  en  la  deteccion  de  firmas  supone  un  nuevo  parche  al  ya  de  por 
si  parcheado  sistema,  y  seguir  un  modelo  de  antivirus  reactivo  que  dia  a  dia  se  muestra  insuficiente  para 
frenar  a  los  especimenes  que  explotan  el  potencial  de  Internet  para  propagarse  en  cuestion  de  minutos. 

iQue  puede  ocurrir? 

Si  finalmente  la  compra  de  GeCAD  por  parte  de  Microsoft  solo  tiene  como  fin  la  investigation  y  desarrollo 
de  nuevas  funcionalidades  en  Windows  que  faciliten  el  trabajo  de  terceras  casas  antivirus,  el  mercado  y 
los  usuarios  no  deben  de  notar  cambios  bruscos.  La  vida  seguira  igual. 

Si  por  el  contrario  Microsoft  pretende  integrar  el  antivirus  de  GeCAD  en  Windows,  queda  claro  que 
supondra  un  duro  varapalo  para  las  firmas  actuales.  Bajo  este  escenario,  las  casas  antivirus,  en  clara 
desventaja,  solo  podrian  competir  (mejor  dicho,  adaptarse  e  intentar  complementar  al  antivirus  de 
Microsoft)  innovando  en  nuevas  tecnicas  antivirus  mas  proactivas,  productos  especializados,  y  marcando 
diferencias  en  los  servicios  y  tiempos  de  respuesta,  donde  a  buen  seguro  seran  mucho  mas  agiles  y  efectivos 
que  Microsoft. 

fMcjoraria  la  seguridad  del  usuario? 

Situandonos  en  el  escenario  mas  cambiante,  la  integration  de  un  motor  por  deteccion  de  firmas  en 
Windows,  queda  claro  que  supondra  la  existencia  de  un  antivirus  en  todos  los  sistemas  Microsoft  y  que 
podria  asegurarse  su  actualization  con  algun  metodo  agresivo  (forzar  la  actualization  automatica,  sin 
depender  de  la  action  del  usuario).  En  este  punto  la  mejora  parece  evidente. 

Pero  si  la  entrada  de  un  antivirus  de  Microsoft  supone  finalmente  un  claro  predominio  sobre  el  sector  y  la 
desaparicion  de  la  mayoria  del  resto  de  casas  antivirus,  el  usuario  esta  en  peligro. 

Por  un  lado  la  falta  de  competencia  real,  que  hoy  dia  esta  garantizada  entre  las  diferentes  firmas,  supondria 
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un  relajamiento  en  la  necesidad  de  ofrecer  respuestas  inmediatas  y  mejoras  en  los  productos.  Por  otro  lado, 
el  escenario  de  un  antivirus  comun  en  todos  los  sistemas  Windows  da  lugar  a  un  sistema  de  seguridad 
muy  homogeneo,  que  facilita  enormemente  la  vida  a  los  creadores  de  virus  y  permitiria  epidemias  mas 
globales. 

Mientras  que  hoy  dia  un  creador  de  virus  debe  disenar  su  especimen  para  que  pueda  burlar  a  una  veintena 
de  productos  antivirus,  cada  uno  con  sus  funcionalidades,  firmas  genericas  y  heuristicas  (cosa  facil,  como 
demostramos  en  e-gallaecia),  el  dia  que  reine  un  unico  producto  en  la  mayoria  de  los  sistemas  solo  debera 
dedicar  “esfuerzos”  (cosa  de  ninos)  para  burlar  esa  proteccion  a  sabiendas  de  que  afectara  al  90%  del 
parque  mundial. 

iPodria  Microsoft  vender  su  antivirus  sin  integrarlo  en  Windows? 

La  posibilidad  siempre  existe,  aunque  la  historia  y  la  razon  no  apuntan  hacia  esa  via.  Tambien  plantearia 
un  dilema  etico,  que  por  un  lado  las  debilidades  de  diseno  de  sus  plataformas  facilitaran  la  vida  a  los  virus 
y  que  por  otro  se  dedicara  a  vender  la  proteccion  a  su  propia  incompetencia. 

En  definitiva,  finalmente  deberemos  esperar  la  jugada  de  Microsoft  para  ver  como  puede  afectar  esta 
adquisicion  a  la  situation  actual  de  los  antivirus,  de  momento  todo  son  conjeturas  e  hipotesis. 

Bernardo  Quintero 


28/09/2003  Impacto  del  monopolio  de  Microsoft  en  la  seguridad 

El  dominio  aplastante  en  el  mercado  de  las  soluciones  de  Microsoft,  que  se  estima  mantiene  una 
cuota  superior  al  90%  del  parque  mundial,  es  en  gran  parte  el  responsable  de  que  las  infraestructuras 
informaticas  sean  mas  vulnerables  a  virus  y  ataques.  Esta  es  la  conclusion  a  la  que  han  llegado  siete 
reconocidos  expertos  en  seguridad,  coautores  de  un  informe  que  pone  de  relieve  los  peligros  intrinsecos 
de  las  practicas  monopolistas  y  la  falta  de  diversificacion  en  los  entornos  informaticos. 

Aunque  el  informe  ha  causado  cierto  revuelo  en  los  medios  de  comunicacion,  sobre  todo  en  EE.UU.,  los 
argumentos  utilizados  son  bien  conocidos  en  el  mundo  de  la  seguridad.  Nada  mas  conocer  la  publication 
del  informe,  recorde  un  ejemplo  muy  grafico  que  mi  companero  Jesus  Cea  expuso  hace  2  anos  en  un 
congreso  de  seguridad,  donde  ambos  analizabamos  en  nombre  de  Hispasec  el  grado  de  “culpabilidad”  de 
Microsoft  en  la  aparicion  de  vulnerabilidades  y  epidemias  de  virus.  Entre  otros  aspectos,  salio  a  eolation 
como  la  falta  de  diversificacion  aumentaba  los  riesgos  de  seguridad  y  facilitaba  las  infecciones  masivas. 

El  ejemplo  de  Jesus  Cea  se  situaba  en  el  terreno  de  la  agricultura,  explicando  como  los  monocultivos 
tenian  importantes  problemas  cuando  eran  atacados  por  plagas  o  enfermedades,  ya  que  el  agente  danino 
se  propaga  rapidamente  y  afecta  a  la  totalidad  de  la  especie  cultivada,  aprovechando  que  se  trata  de  una 
plantation  homogenea  con  las  mismas  propiedades  y  puntos  debiles.  Por  contra,  los  cultivos  multiples  0 
policultivos,  que  intercalan  la  plantation  de  diversas  especies  sobre  el  terreno,  son  mucho  mas  resistentes  a 
las  plagas  y  enfermedades,  ademas  de  proporcionar  otras  ventajas  en  terminos  de  estabilidad,  rendimiento 
y  productividad.  La  diversificacion  que  establecen  los  policultivos  actuan  minimizando  el  impacto  de  las 
plagas  y  enfermedades,  ya  que  el  agente  danino  se  encuentra  con  especies  a  las  que  no  puede  atacar  ni 
permiten  su  propagation,  y  en  cualquier  caso  nunca  afecta  a  toda  la  plantation. 
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A  grandes  rasgos,  y  en  clave  tecnologica,  esta  es  una  de  las  llneas  argumentativas  principales  del  informe 
“Cyberinsecurity:  The  Cost  of  Monopoly”.  La  analogia  es  tal  que  en  una  charla  posterior,  Will  Rodger, 
director  de  la  Computer  and  Communications  Industry  Association,  comentaba  que  la  situation  actual, 
con  Windows  dominando  en  la  mayoria  de  los  PCs,  era  similar  a  las  condiciones  que  se  encontraron  los 
granjeros  durante  el  Hambre  Irlandesa  a  mediados  del  siglo  XIX. 

Para  los  que  no  esten  al  tanto  de  esta  crisis,  por  aquellos  tiempos  Irlanda  tenia  en  la  patata  su  principal 
fuente  de  alimentation.  Una  devastadora  plaga  entre  1845  y  1848  asolo  en  varias  ocasiones  los  cultivos, 
lo  que  derivo  en  una  epoca  de  hambre,  enfermedades,  muertes,  y  la  catastrofe  sumio  a  Irlanda  en  una 
profunda  depresion  en  todos  los  ambitos. 

Como  era  de  esperar  la  vision  de  Microsoft  difiere  totalmente.  En  palabras  de  Sean  Sundhall,  portavoz  de 
la  compania,  este  tipo  de  analogias  pueden  ser  mas  utiles  para  las  patatas  que  para  el  software.  Sundhall 
critica  que  el  informe  solo  seiiale  los  aspectos  negativos  de  la  monocultura  en  el  sistema  operativo,  y  sin 
embargo  no  mencione  los  positivos  como  la  facilidad  de  mantenimiento. 

Parche  sobre  parche 

El  informe,  que  no  se  basa  en  analogias  con  la  agricultura,  sino  en  hechos  concretos  y  constatables  de  las 
politicas  de  Microsoft,  tambien  senala  como  el  grado  de  complejidad  que  cada  vez  es  mayor  en  Windows 
supone  irremediablemente  un  aumento  de  los  riesgos  de  seguridad. 

Segun  este  analisis,  decisiones  como  la  de  incluir  Internet  Explorer  de  forma  nativa  en  el  sistema 
operativo,  y  convertirlo  en  parte  integral  y  esencial  del  mismo,  no  responde  a  necesidades  reales,  sino 
a  planes  estrategicos  y  de  mercado  para  castigar  cualquier  competencia  en  este  terreno.  Los  riesgos  de 
seguridad  que  esta  decision  supone  lo  sufrimos  regularmente,  solo  hay  que  repasar  los  historicos  de  “una- 
al-dia”  de  Hispasec,  incluido  el  ultimo  agujero  critico  del  navegador  de  Microsoft  que  data  de  primeros  de 
septiembre  y  del  que  aun  esperamos  solution. 

El  numero  de  vulnerabilidades  en  el  que  desemboca  esta  complejidad  artificial  adquirida  por  el  sistema  de 
Microsoft,  con  la  integration  de  aplicaciones  y  funcionalidades  en  Windows  que  no  obedece  a  necesidades 
basicas  ni  a  la  election  de  los  usuarios,  lleva  consigo  una  politica  de  continuos  parches  para  intentar 
corregir  los  problemas  de  seguridad.  El  informe  recoge  que  este  ano  llevamos  39  parches  de  Microsoft 
a  dia  16  de  septiembre,  a  razon  de  parche  cada  6  dias.  Un  ritmo  frenetico  para  los  administradores  y 
profesionales,  y  casi  una  odisea  para  un  usuario  particular. 

Ademas,  el  analisis  mantiene  que  Windows  ha  llegado  a  tal  punto  de  complejidad  que  la  instalacion  de  un 
parche  para  corregir  una  vulnerabilidad  conocida  tiene  muchas  probabilidades  de  introducir  una  nueva 
vulnerabilidad  desconocida,  un  hecho  que  tambien  hemos  podido  constatar  en  numerosos  casos.  A  los 
riesgos  de  seguridad,  hay  que  unirle  los  problemas  de  compatibilidad  y  estabilidad  que  las  actualizaciones 
pueden  acarrear,  lo  que  a  efectos  practicos  supone  que  muchos  usuarios  y  profesionales,  temerosos  de  los 
efectos  colaterales,  retrasen  la  instalacion  de  los  parches  hasta  pasados  unos  dias. 

Protocolos  y  formatos  cerrados 

Otro  de  los  frentes  que  utiliza  Microsoft  para  controlar  el  mercado,  tambien  denunciado  en  el  informe, 
es  utilizar  su  position  de  fuerza  para  implantar  de  forma  unilateral  estandares  de  facto,  cuyos  detalles 
mantienen  ocultos,  asegurandose  su  explotacion. 
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Como  ejemplos  basicos  que  el  usuario  puede  apreciar  dia  a  dia,  no  son  pocas  las  paginas  webs  que  solo 
se  visualizan  de  forma  correcta  en  Internet  Explorer  o  que  utilizan  componentes  que  solo  pueden  ser 
ejecutados  bajo  Windows.  Tambien  hoy  dia  es  dificil  encontrar  una  empresa  privada  u  organismo  publico 
(lo  que  es  mas  grave)  que  no  utilice  Microsoft  Word  como  procesador  de  textos,  incluido  su  formato 
propietario  de  documentos  (.doc)  tanto  para  el  almacenamiento  como  intercambio  de  los  mismos,  en  vez 
de  utilizar  formatos  abiertos  no  dependientes  de  intereses  privados. 

En  este  tipo  de  situaciones  los  usuarios  de  otras  plataformas  no  Windows  se  encuentran  discriminados, 
hasta  tal  punto  que  para  acceder  a  servicios  de  la  administration  publica  se  fuerza  a  utilizar  las  soluciones 
de  Microsoft.  Afortunadamente  se  esta  avanzando  algo  en  este  terreno,  por  ejemplo  hoy  dia  ya  es  posible 
acceder  a  los  programas  de  ayuda  de  la  Agenda  Tributaria  de  Espana  desde  otras  plataformas,  aunque  aun 
queda  mucho  camino  por  recorrer. 

Polemicas  sobre  el  informe 

Algunas  voces  han  querido  poner  de  manifiesto  una  posible  falta  de  imparcialidad  en  el  informe, 
basandose  en  la  participacion  de  la  CCIA  (Computer  and  Communications  Industry  Association)  en  su 
presentation  y  publication.  Esta  asociacion  de  empresas  integra,  entre  otras,  a  America  Online,  Oracle,  o 
Sun  microsystems,  reconocidas  competidoras  de  Microsoft.  Ademas,  la  propia  asociacion  tiene  como  fin 
la  promotion  de  redes  y  sistemas  abiertos,  para  garantizar  la  libre  competencia,  en  clara  oposicion  a  la 
politica  de  soluciones  cerradas  y  las  supuestas  practicas  monopolistas  de  Microsoft. 

Los  autores  han  hecho  hincapie  en  la  independencia  del  informe,  alegando  que  su  origen  parte  de  una 
iniciativa  totalmente  personal,  que  en  ningun  momento  ha  sido  patrocinado  por  la  CCIA  o  bajo  los  intereses 
de  terceros.  El  documento  viene  firmado  por  Daniel  Geer  de  @Stake  (empresa  a  la  que  pertenecia  hasta  la 
publicacion  del  informe),  Charles  P.  Pfleeger  de  Exodus  Communications,  John  S.  Quarterman  de  Matrix 
NetSystems,  Perry  Metzger,  consultor  independiente,  Rebecca  Bace  de  Infidel,  Peter  Gutmann  investigador 
del  departamento  de  Ciencias  de  la  Computation  de  la  universidad  de  Auckland,  y  el  reconocido  Bruce 
Schneier  de  Counterpane  Internet  Security. 

La  CCIA  tambien  mantiene  que  su  participacion  se  ha  limitado  a  la  ultima  fase,  y  que  los  autores  se 
pusieron  en  contacto  con  ellos  para  dar  la  maxima  difusion  al  informe,  en  especial  para  aprovechar  sus 
recursos  de  cara  a  hacerlo  circular  en  ambientes  politicos  y  legislatives  de  Washintong. 

Tambien  ha  desatado  rios  de  tinta  la  salida  fulgurante  de  Daniel  Geer  de  @Stake,  la  que  hasta  ahora  era  su 
empresa,  compania  de  seguridad  que  tiene  en  Microsoft  una  importante  fuente  de  ingresos.  Desde  @Stake 
aseguran  que  no  han  recibido  ningun  tipo  de  presion  por  parte  de  Microsoft,  aunque  tampoco  esconden  el 
malestar  porque  uno  de  sus  trabajadores  arremetiera  publicamente  contra  un  cliente  tan  importante,  y  se 
han  dado  prisas  en  desmarcarse  de  la  opinion  del  mismo. 

Buscando  el  equilibrio 

Que  Microsoft  aprovecha  su  position  en  el  mercado  es  evidente,  que  los  intereses  comerciales  se  superponen 
a  la  seguridad  de  sus  productos  y  que  en  la  mayoria  de  las  ocasiones  son  contrapuestos,  tambien  es 
constatable.  De  ahi  a  demonizar  a  Microsoft  como  origen  y  culpable  de  todos  los  males  y  problemas  de 
seguridad  que  azotan  a  la  informatica  actual,  no  parece  razonable. 

Mi  opinion  personal  al  respecto  es  que  Microsoft  es  tanto  victima  como  culpable  de  la  situation.  Tener 
su  sistema  implantado  en  mas  del  90%  del  parque  informatico  actual  lo  situan  en  el  punto  de  mira  de  los 
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atacantes  o  de  cualquier  creador  de  virus,  que  siempre  busca  la  plataforma  mas  extendida  para  que  su 
especimen  tenga  un  buen  caldo  de  cultivo  y  que  pueda  obtener  los  mayores  indices  de  propagation.  Por 
tanto  las  vulnerabilidades  de  Microsoft,  que  en  mayor  o  menor  medida  tambien  podemos  encontrar  en 
otras  plataformas,  siempre  tendran  una  mayor  repercusion  en  su  caso. 

Este  papel  de  victima  no  le  exime  de  sus  problemas  especificos  de  seguridad,  mas  aun  cuando  muchos  de 
ellos  han  sido  originados  por  la  implantation  de  sus  agresivas  politicas  de  mercado  que  buscan  asegurarse 
la  explotacion  frente  a  terceros. 

Por  otro  lado,  es  responsabilidad  de  los  estamentos  publicos  y  privados,  sobre  todo  de  los  primeros,  no 
someterse  a  la  linea  marcada  por  Microsoft  o  cualquier  otra  iniciativa  interesada  que  no  permita  la  libre 
competencia.  Es  muy  importante  ser  conscientes  de  la  importancia  de  adoptar  estandares  abiertos,  de 
forma  que  las  infraestructuras  basicas,  incluso  el  formato  en  que  nuestros  datos  estan  almacenados,  no 
dependan  en  exclusividad  de  un  tercero. 

Desde  la  competencia  a  Microsoft,  de  nada  sirve  apuntarle  y  criticarle  de  forma  constante,  si  de  forma 
paralela  no  se  ofrecen  soluciones  que  cumplan  todos  los  requerimientos  de  los  usuarios  finales.  No  solo  de 
seguridad  vive  el  usuario,  la  realidad  es  que  no  suele  ser  un  factor  clave  que  incline  la  balanza  de  la  election 
de  un  sistema  operativo  o  aplicacion,  factores  como  la  sencillez  de  manejo  son  mucho  mas  valoradas  por 
el  usuario  final.  Es  necesario  un  ejercicio  de  autocritica  que,  al  margen  de  las  practicas  monopolistas 
de  mercado  ejercidas  por  Microsoft,  permita  reconocer  sus  aciertos  y  aplicarlos  en  las  soluciones  que  se 
ofrezcan  al  usuario  como  alternativa  al  duo  formado  por  Windows  y  Office. 

Con  respecto  al  informe,  es  de  lectura  facil  y  muy  recomendable  para  todos  los  usuarios,  que  en  ultima 
instancia  deberan  formarse  su  propia  opinion.  Se  encuentra  disponible  en  formato  PDF  en  la  siguiente 
direction  http://www.ccianet.org/papers/cyberinsecurity.pdf 


Bernardo  Quintero 


13/10/2003  Microsoft:  marketing  vs.  seguridad 

En  octubre  de  2001  Microsoft  lanzaba  Strategic  Technology  Protection  Program  (STPP),  que  anunciaron 
como  una  iniciativa  sin  precedentes  que  mejoraria  la  seguridad  de  sus  sistemas  operativos  y  su  respuesta 
ante  nuevos  problemas  de  seguridad.  Pasados  dos  anos,  donde  los  incidentes  de  seguridad  que  aprovechan 
vulnerabilidades  de  Microsoft  no  han  hecho  mas  que  aumentar,  vuelven  a  realizar  nuevas  promesas. 

De  nuevo  el  marketing  se  adelanta  a  la  tecnologia.  Durante  una  conferencia  de  partners  la  pasada  semana, 
Steve  Ballmer  anuncio  nuevas  iniciativas  que  haran  de  Windows  un  sistema  menos  vulnerable  a  los 
ataques.  De  entrada  ha  adelantado  que  estas  funcionalidades  se  ofreceran  gratuitamente  en  el  proximo 
service  pack  para  Windows  XP  y  Windows  Server  2003.  No  sabemos  si  este  anuncio  debe  interpretarse 
como  que  los  usuarios  de  versiones  anteriores  de  Windows,  incluido  Windows  2000,  tendran  que  migrar 
forzosamente  si  quieren  acceder  a  este  nuevo  y  prometido  nivel  de  seguridad. 

Ademas  del  anuncio  publico,  de  cara  a  mitigar  el  aluvion  de  criticas  que  esta  padeciendo  Microsoft  por  el 
verano  negro  que  ha  protagonizado  en  materia  de  seguridad,  tan  solo  han  transcendido  vagas  pinceladas 
sobre  las  medidas  reales  que  implantaran.  Desde  la  activation  por  defecto  del  firewall  que  incluye 
Windows,  hasta  una  nueva  politica  de  avisos,  parches  y  actualizaciones  que  pasaran  a  ser  mensuales,  en 
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vez  de  los  mas  periodicos  como  nos  tenia  acostumbrado  hasta  ahora.  Este  ultimo  punto  parece  mas  una 
idea  de  un  creativo  de  marketing  que  de  un  analista  tecnico.  Desde  el  punto  de  vista  de  seguridad  todo 
son  desventajas.  En  palabras  de  Amy  Carroll,  director  de  producto  de  la  unidad  de  negocio  de  seguridad 
de  Microsoft,  esta  cambio  facilitara  a  los  usuarios  la  localization  e  instalacion  de  las  actualizaciones  de 
seguridad. 

Microsoft  ha  recibido  en  los  ultimos  tiempos  muchas  criticas  por  los  continuos  parches  de  seguridad 
que  deben  aplicarse  en  Windows,  lo  que  dificulta  la  labor  a  los  profesionales  y  es  poco  practico  para  los 
usuarios  finales  que  no  tienen  porque  estar  pendientes  continuamente  de  las  actualizaciones.  Parece  que 
Microsoft  ha  optado  por  simplificar  el  problema  y  reducirlo  a  lo  absurdo:  si  no  quieren  muchos  parches 
pequenos  de  forma  periodica,  daremos  uno  grande  una  vez  al  mes. 

Los  riesgos  son  evidentes,  por  un  lado  la  ventana  de  tiempo  entre  que  una  vulnerabilidad  es  descubierta  y 
la  correction  esta  disponible  sera  aun  mayor,  por  otro  lado  los  macro-parches,  que  tienen  que  modificar 
multiples  componentes  del  sistema,  son  mas  proclives  a  los  problemas  de  compatibilidad  e  interferencias 
con  el  software  ya  existente. 

Como  anecdota,  la  mision  principal  de  la  iniciativa  STPP  era  disminuir  el  tiempo  que  transcurre  desde  que 
es  descubierta  la  vulnerabilidad  hasta  que  el  sistema  del  cliente  es  actualizado,  y  de  esta  forma  disminuir 
el  riesgo  de  que  los  sistemas  resulten  danados.  Ahora  parece  que  dan  la  vuelta  a  la  tortilla. 

Como  ya  hicieramos  en  su  dia  en  Hispasec,  a  traves  de  la  noticia  “Microsoft  STPP,  iestrategia  tecnologica 
o  lavado  de  cara?”,  de  nuevo  hacemos  hincapie  en  que  es  una  simplification  subjetiva  y  partidista  del 
problema  que  situa  al  usuario  como  principal  responsable  al  no  actualizar  periodicamente  sus  productos.  A 
Microsoft  le  ha  faltado  de  nuevo  autocritica  en  el  planteamiento  de  la  estrategia,  y  el  anuncio  de  iniciativas 
encaminadas  a  corregir  el  problema  en  su  origen.  Mas  vale  prevenir  que  curar. 


Bernardo  Quintero 


Entrevista 


Johannes  Ullrich  es  el  fundador  de  Dshield,  que  ahora  forma  parte  de  SANS 
Internet  Storm  Center,  liderado  tambien  por  el.  En  2005  fue  nombrado  una  de  las  50  Johannes  B.  Ullrich 
personas  mas  influyentes  en  la  industria  de  las  redes  por  la  revista  Network  World. 

En  su  trabajo  diario  suele  usar  Virustotal. 

Hispasec:  tCon  que  edad  empezaste  a  tener  contacto  con  la  informatica?  tRecuerdas  los 
primeros  equipos  informaticos  con  los  que  pudiste  trastear? 

Johannes  B.  Ullrich:  Tenia  unos  14  anos.  La  mayoria  de  los  ordenadores  con  los  que  tenia  contacto  en 
el  instituto  era  de  Commodore.  Por  ejemplo  tenia  algunos  Commodore  4004  (con  4  kylobytes  de  RAM  y 
pequenos  monitores  verdes).  En  realidad  aprendi  bastante  bien  ensamblador  6502  que  tenias  que  escribir 
en  hexadecimal  puro.  Mi  primer  ordenador  fue  un  Commodore  64. 

H:  fcComo  llega  a  convertirse  un  fisico  especializado  en  la  investigacion  cientifica  de  rayos 
X,  en  un  experto  en  seguridad  informatica  e  Internet? 

JBU:  Siempre  me  ha  gustado  jugar  con  los  ordenadores.  Mientras  mas  me  adentraba  en  experimentos 
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con  rayos  X,  mas  importantes  se  hacian  los  ordenadores  como  herramienta  para  automatizar  estos 
experimentos.  Muchas  de  estas  pruebas  pueden  llegar  a  ser  aburridas  si  tienes  que  sentarte  y  esperar  a 
que  los  datos  se  acumulen.  Es  mucho  mas  divertido  escribir  un  pequeno  programa  y  dejar  que  el  ordenador 
controle  el  experimento.  Mas  tarde  tambien  empece  a  controlar  estos  experimentos  de  forma  remota  a 
traves  de  simples  scripts  CGI.  Por  supuesto,  cuando  empece  a  trabajar  con  estos  sistemas  en  red,  me 
empezo  a  preocupar  cada  vez  mas  la  seguridad.  Para  algunas  de  estas  simulaciones  teoricas  de  estos 
experimentos,  tome  prestadas  varias  estaciones  de  trabajo  para  planificar  trabajos  por  todo  el  campus.  De 
nuevo,  esto  me  llevo  a  interesarme  en  como  funciona  realmente  la  autenticacion  y  la  reserva  de  recursos. 

H:  Para  los  que  no  conozcan  a  tu  criatura,  DShield,  tpuedes  contar  brevemente  cual  es  su 
objetivo  y  como  ha  ido  evolucionando  a  lo  largo  de  estos  anos? 

JBU:  Comence  Dshield  como  un  “ISAC  para  usuarios  normales”  (ISAC  =  Information  Sharing  and 
Analysis  Center).  El  termino  “ISAC”  se  usa  desde  2000  para  describir  a  las  organizaciones  de  la  industria 
que  trabajan  juntas  para  intercambiar  information  sobre  seguridad.  Por  ejemplo,  los  bancos  de  Estados 
Unidos  trabajan  juntos  en  una  ISAC.  Lei  sobre  el  tema  y  al  mismo  tiempo  empece  a  jugar  con  cortafuegos 
personales  en  casa.  Supuse  que  a  muchos  usuarios  caseros  como  yo  les  gustaria  compartir  information 
para  tener  una  vision  mejor  de  lo  que  realmente  esta  pasando.  Ademas,  averigue  por  amigos  que  trabajaban 
en  ISPs  que  estaban  absolutamente  inundados  de  quejas  relacionadas  con  el  abuso  del  servicio. 

Una  de  mis  ideas  era  proporcionar  a  estos  ISPs  una  forma  sencilla  y  estandar  de  procesar  estas  quejas 
de  abuso,  las  cuales  estan  basadas  la  mayoria  en  muchos  usuarios  observando  el  mismo  ataque,  no  solo 
un  individuo.  Le  di  algunas  vueltas  a  la  idea  y  en  noviembre  de  2000  escribi  mi  primera  version  del  sitio 
durante  un  largo  fin  de  semana.  Lo  ejecute  en  un  pequeno  servidor  que  construi  por  unos  200  dolares  y 
lo  aloje  en  un  ISP  cercano  que  conocia.  El  primer  problema  fue  encontrar  un  numero  de  usuarios  base 
para  que  introdujeran  datos.  Tuve  suerte  y  Slashdot  publico  la  pagina  despues  de  un  mes.  Por  supuesto 
la  pagina  se  rompio  y  el  ISP  por  poco  me  echa,  pero  al  final,  todo  fue  bien  y  consegui  mi  “masa  critica” 
de  suscriptores.  En  concrete,  en  2001  estaba  sorprendido  con  lo  bien  que  funcionaba.  Este  fue  un  buen 
ano  de  gusanos.  Casi  todos  los  encontramos  pronto  gracias  a  Dshield.  Code  Red  fue  particularmente 
interesante. 

Mi  primer  pequeno  servidor  tuvo  tambien  sus  problemas  con  este  virus,  mientras  se  introducian  un 
monton  de  reportes  y  teniamos  un  buen  numero  de  visitas  debido  al  interes  de  la  prensa.  La  fuente  de 
alimentation  del  servidor  echo  a  arder  pero  tuvimos  suerte  y  conseguimos  seguir  funcionando  algunos 
dias  mas  hasta  que  puede  reemplazarla  (solo  se  quemo  algo  de  aislante). 

H:  Internet  Security  Center  (ISC)  es  un  referente  para  todos  los  que  necesitamos  tener 
informacion  de  ultima  hora  respecto  a  las  amenazas  que  surgen  en  Internet.  (.Como 
esta  organizado  internamente  ISC  para  dar  este  servicio  24x7  y  proporcionar  siempre 
informacion  relevante  y  contrastada? 

JBU:  Todos  los  “handlers”  de  ISC  son  voluntarios.  Gracias  a  estos  voluntaries  podemos  ofrecer  el  servicio. 
Todos  tienen  ademas  trabajos  reales.  Como  consecuencia,  mucha  de  esa  experiencia  se  cuela  en  nuestros 
“diarios”.  Muchos  servicios  de  seguridad  profesional  no  tienen  la  misma  experiencia  en  el  mundo  real. 

H:  Hemos  podido  comprobar  que  habitualmente  en  ISC,  cuando  se  habla  de  amenazas 
de  malware,  se  hace  referencia  a  los  resultados  obtenidos  en  VirusTotal.  (.Que  opinion 
te  merece  VirusTotal  y  cual  crees  que  debe  ser  su  evolucion  y  papel  en  el  sector  de  la 
seguridad? 
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JBU:  Virustotal  es  una  gran  fuente  para  saber  rapidamente  si  un  malware  es  nuevo  o  no.  Analizar 
malware  lleva  mucho  tiempo,  y  recibimos  muchos.  Virustotal  es  una  gran  herramienta  para  clasificar  y 
seleccionar  rapidamente.  Soy  un  gran  fan  del  analisis  automatizado  del  malware  para  hacerse  una  idea 
de  lo  que  realiza  el  malware.  Normalmente  no  es  perfecto,  pero  algunos  de  los  mejores  sistemas  pueden 
acercarse  mucho  a  lo  que  en  realidad  ejecuta  el  troyano.  Todo  lo  que  podais  hacer  en  esa  direction  serla 
muy  interesante  y  apreciado. 

H:  Tanto  DShield  como  ISC,  o  nuestro  propio  VirusTotal,  parten  de  un  enfoque  donde  se 
aprovecha  la  cooperacion  de  la  comunidad  de  Internet.  f.Cuales  crees  que  son  las  principales 
ventajas  y  retos  de  estos  esquemas  colaborativos  que  se  nutren  de  datos  distribuidos  de 
terceras  fuentes? 

JBU:  Internet  es  una  gran  comunidad.  Tener  una  comunidad  para  investigar  Internet  tiene  sentido.  Una 
comunidad  de  voluntaries  motivados  puede  resultar  tremendamente  poderosa.  Por  otro  lado,  seleccionar 
y  motivar  miembros  responsables  y  con  conocimientos  para  esa  comunidad  resulta  un  reto. 

H:  Esta  entrevista  formara  parte  de  un  libro  que  conmemora  el  decimo  aniversario  de  una- 
al-dia,  el  primer  boletin  diario  de  seguridad  informatica  en  espanol.  No  queriamos  dejar 
pasar  la  oportunidad  de  aprovechar  tu  vision  privilegiada  en  ISC  para  que  nos  resumieras 
brevemente  tu  opinion  sobre  cual  ha  sido  la  evolucion  de  las  amenazas  en  Internet  durante 
estos  ultimos  10  anos. 

JBU:  El  gran  cambio  es  la  “personalization  masiva”  de  los  exploits  modernos.  La  decada  ha  empezado  con 
herramientas  para  automatizar  la  difusion  de  exploits.  Incialmente  teniamos  simples  herramientas  para 
atacar  manualmente  sistemas  y  despues,  de  nuevo  gusanos  simples  pululaban  por  la  red.  Hoy,  tenemos 
herramientas  de  ataques  altamente  flexibles  y  que  escogen  y  seleccionan  automaticamente  exploits  para 
que  ataquen  a  un  sistema  en  particular. 

H:  fcAlguna  prediccion  para  el  futuro  en  materia  de  seguridad  en  Internet?  tQue  nos 
espera? 

JBU:  Con  disenos  de  sistemas  mas  complejos,  como  la  virtualizacion  y  la  “cloud  computing”,  los  ataques 
tambien  se  volveran  mas  complejos.  Creo  que  lo  que  veremos  sera  nuevas  formas  de  esconder  malware  en 
estos  sistemas  complejos.  Por  ejemplo  en  forma  de  virtualizacion  “sigilosa”  o  procesos  “inter-cloud”. 

H:  A1  margen  de  tu  actividad  profesional  como  Chief  Research  Officer  for  the  SANS 
Institute, ,f.a  que  dedicas  mas  tiempo  ultimamente?  f.Hobbies? 

JBU:  Estoy  dedicando  mucho  tiempo  a  la  seguridad  web  estos  dias.  No  hay  demasiado  tiempo  para 
hobbies.  De  alguna  forma,  mi  trabajo  es  mi  hobbie  ;-). 

H:  c'.Que  sistema  operativo  y  navegador  utilizas? 


OS  X  y  Firefox  (tambien  Safari).  Tambien  uso  Linux  bastante. 

H:  Un  libro,  una  cancion 
JBU:  Sara  Hickman,  Mad  World. 

Duerrenmatt,  The  Physicists  (mi  libro  favor ito  de  todos  los  tiempos). 
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Documentation 


^^115^^003^  la  primara  renovation 


] 


Miercoles,  1 9  de  Febrero  de  2003. 


una-al-dia 

18/02/2003 

Comprometidos  los  datos  de  mas  de 
cinco  millones  de  tarjetas  de  credito 

Un  atacante  ha  conseguido  la  informacion  de 
mas  de  cinco  millones  de  tarjetas  de  credito  de 
usuarios  estadounidenses 


O  mas  informacion.. 


Destacados 


Servicios 


Servicio  de  Anaiisis,  NotificaaOn  y  Alertas 
para  profesionales  y  empresas 


17/02/2003 

Problemas  de  seguridad  en  Lotus 
Domino 

Se  han  dado  a  conocer  diversos  problemas  de 
seguridad  en  varios  componentes  de  la  familia 
de  productos  Lotus  Domino,  clasificadas  como 
criticas  al  permitir  a  un  atacante  obtener  el 
control  del  servidor  donde  se  ejecuta  Lotus 
Domino  o  forzar  la  ejecucion  de  codigo  en  las 
maquinas  de  los  usuarios  de  iNotes. 

O  mis  informacion... 


Vulnerabilidad  en  HP-UX  10.20, 11.00  y 

11.11 

Los  servidores  HP9000  con  el  sistema 
operativo  HP-UX  en  sus  versiones  10.x  y  11.x 
se  ven  afectados  por  un  problema  de 
seguridad  por  el  que  un  atacante  podria  elevar 
sus  permisos  en  el  sistema. 

O  mas  informacion... 


Con,sultar_ncrticias  anteriores 


Hispasec  ofrece  la  mas  completa 
comparative  realizada  hasta  la  fecha 
sobre  los  9  productos  antivirus  mas 
extendidos.  No  te  pierdas  todos  los  datos 
de  este  completo  informe. 


En  profundidad 

Comparativa  Antivirus  2001 
Comparativa  Antivirus  2000 
Chroot  y  seguridad 
Chaffing  A  Winnowing 


Cursos  de  SEGURIDAD  INTERNET 


jlm 


agen 


Curso  de  Seguridad  Internet  en  servidores 

Windows  fNTOOOO) 

Pesarroilo  Aphcaclones  Internet  Seguras  con 

tecnoloqas  Microsoft 

Cur  so  de  Seguridad  Internal  en  routers  Cisco 

Curso  de  Seaundad  Internet  en  servidores 

Unix  tSolarisfljnuxl 
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Durante  este  ano... 


_  En  febrero  la  CIA  admite  que  no  existia  amenaza  inminente  por  las  supuestas 
armas  de  destruction  masiva  antes  de  la  invasion  de  Iraq. 

_  El  13  de  febrero  se  pone  en  marcha  en  Espana  el  Documento  Nacional  de  Identidad  (DNI) 
electronico.  En  2008  se  haria  popular.  Su  implantation  y  uso  en  la  Red  es  aun  marginal. 

_  Malta,  Chipre,  Estonia,  Eslovenia,  Letonia,  Lituania,  Eslovaquia,  Hungria,  Republica  Checa  y  Polonia 
pasan  a  formar  parte  de  la  la  Union  Europea.  De  la  “Europa  de  los  15”,  se  pasa  a  la  “Europa  de  los  25”. 

_  El  Senor  de  los  anillos:  El  retorno  del  Rey,  logra  11  Oscars,  igualando  el  record  de  Titanic  y  Ben- 
Hur. 

_  El  2  de  febrero,  durante  el  espectaculo  montado  en  el  intermedio  de  la  38s  Super  Bowl,  Justin 
Timberlake  interpreta  “Rock  your  body”  junto  a  Janet  Jackson  ante  mas  de  100  millones  de 
espectadores.  Justin  (en  un  supuesto  movimiento  de  baile  que  pretendieron  que  resultara  casual)  arranca 
una  parte  del  traje  que  oportunamente  parecia  sujeta  con  velcro  y  Janet  deja  ver  su  pecho  derecho.  Su 
interpretation  de  la  sorpresa  es  mas  bien  pobre,  permite  que  se  vea  unos  segundos  e  intenta  ocultarlo  con 
las  manos.  Este  incidente,  aunque  se  desmintiera  hasta  la  saciedad  que  fuese  algo  preparado,  sirvio  como 
excusa  para  incluir  cierto  retraso  en  las  emisiones  en  directo  y  poder  estar  preparados  para  “imprevistos”, 
supuestamente  de  otra  indole. 

_  El  16  de  febrero  se  descubre  una  galaxia  a  13.000  millones  de  anos  luz,  la  mas  lejana  conocida. 
Se  consigue  gracias  a  una  combination  de  observaciones  del  Telescopio  Espacial  Hubble  y  del  observatorio 
Keck  de  Hawai. 


2004 


Mueren  191  personas  en  losatentadosdelll  demarzoen  Madrid.  Terroristasdenacionalidad 
marroqul  colocan  13  mochilas  con  bombas  en  el  interior  de  4  trenes  de  cercanlas  que  se 
diriglan  a  la  estacion  de  Atocha.  Comienzan  las  especulaciones  sobre  la  autoria  de  la 
masacre.  Las  elecciones  se  celebrarlan  solo  3  dlas  despues,  y  durante  el  fin  de  semana 
los  partidos  politicos  aspirantes  se  acusan  de  ocultar  o  exagerar  informacion  en  beneficio 
propio.  El  14  de  marzo  el  PSOE  gana  las  elecciones  generales.  El  15  de  marzo  Zapatero 
anuncia  que  retirara  los  1.300  soldados  que  el  pals  mantiene  en  Iraq. 

El  3  de  abril  se  produce  la  explosion  en  un  inmueble  de  Leganes,  habitado  por  sospechosos 
terroristas  del  atentado  de  Atocha.  Muere  un  policla  y  siete  terroristas  se  suicidan. 


_  En  los  Juegos  Olimpicos  de  Atenas  2004,  el  marroqui  Hicham  El  Guerrouj  gana  las  pruebas  de 
5.000  y  1.500  metros,  algo  que  solo  habia  conseguido  el  finlandes  Paavo  Nurmi,  en  Paris  en  1924. 
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El  1  de  abril  (el  dia  de  los  inocentes  anglosajon)  Google 
anuncia  por  sorpresa  su  nuevo  servicio  de  correo 
llamado  Gmail  que  ofrecera  de  forma  gratuita  a  sus 
usuarios  una  cuenta  con  buzon  de  un  gigabyte  de 
capacidad.  Muchos  lo  toman  como  una  broma.  La 
capacidad  media  de  un  disco  duro  en  2004  es  de  60-80 
gigas.  Hotmail  (quizas  el  servicio  de  correo  mas  popular)  ofrece  en  esos  momentos  gratis 
un  buzon  de  dos  megas,  con  la  posibilidad  de  ampliar  a  100  megas  en  el  servicio  de  pago. 
Por  si  fuera  poco,  Google  permite  acceso  a  traves  de  POP3  seguro  con  cualquier  cliente. 
Gmail  romperfa  ast  las  reglas  establecidas  hasta  el  momento  en  el  mercado  del  correo 
web.  Ofrece  durante  muchos  meses  cuentas  exclusivamente  a  traves  de  invitaciones,  pero 
no  es  complicado  conseguirlas.  Despues  el  servicio  se  abrirfa  para  todos  sin  necesidad 
de  invitacion.  Todos  los  servicios  de  correo  comenzanan  a  aumentar  el  tamano  de  sus 
buzones  a  pasos  agigantados.  El  estandar  establecido  de  “algunos  megas”  de  forma 
gratuita  para  un  buzon  de  correo  se  percibla  ridlculo  de  repente.  No  tardan  en  aparecer 
las  utilidades  que  permiten  usar  esa  capacidad  extra  integrada  en  el  sistema  operativo 
para  salvaguardar  datos  de  forma  comoda  y  remota,  como  si  de  una  unidad  local  mas  se 
tratase.  Gmail  hoy  dfa  ofrece  capacidad  casi  ilimitada  y  que  aumenta  cada  dla. 


Gwail 

by  Google  BETA 


_  El  l  de  septiembre  el  colegio  de  Beslan,  en  Osetia  del  Norte  (Rusia)  es  secuestrado  por  terroristas 
musulmanes  armados.  Durante  dos  dlas  retienen  a  cientos  de  personas  en  su  interior,  mientras  sostienen 
armas  y  abundante  material  belico.  Se  esconden  bajo  pasamontanas  y  portan  numerosos  explosivos. 
Toman  como  rehenes  a  1.181  personas.  A1  dia  siguiente  las  conversaciones  entre  los  negociadores  y 
los  secuestradores  fracasan,  negandose  los  terroristas  incluso  a  permitir  la  entrada  de  alimentos  y 
medicamentos  para  los  rehenes,  o  a  retirar  los  cadaveres  del  colegio.  El  dia  3  de  septiembre  se  produce  un 
tiroteo  entre  los  secuestradores  y  las  fuerzas  de  seguridad  rusas,  dejando  un  saldo  de  mas  de  335  rehenes 
muertos  (156  ninos),  200  desaparecidos  y  cientos  de  heridos. 

_  El  20  de  septiembre  la  Wikipedia  alcanza  ya  un  millon  de  articulos  en  too  idiomas. 


_  El  20  de  octubre  se  lanza  la  primera  version  de  Ubuntu.  La  4.10  alias  Warty  Warthog.  Ubuntu  se 
convertiria  en  el  “Linux  para  seres  humanos”  cuya  filosofia  es  facilitar  en  lo  posible  el  uso  para  escritorio. 
Supone  un  avance  considerable  en  reconocimiento  de  hardware,  drivers,  etc,  convirtiendose  en  el 
abanderado  del  software  libre  en  el  entorno  domestico.  En  poco  tiempo  consigue  una  buena  imagen,  y 
copa  el  30%  de  todas  las  instalaciones  linux.  Ofrece  CDs  oficiales  gratuitos  que  pueden 
ser  pedidos  online  y  enviados  a  cualquier  parte  del  mundo  gratis.  Basada  oficialmente 
en  el  escritorio  GNOME,  mas  tarde  aparecerian  Kubuntu  y  Xubuntu,  con  el  escritorio 
KDE  y  Xfce  respectivamente.  Su  objetivo,  como  “fork”  de  Debian,  seria  proporcionar 
nuevas  versiones  cada  6  meses,  algo  considerado  un  problema  en  Debian,  que  en  favor 
de  la  fiabilidad  y  estabilidad  perdia  “frescura”  en  su  software. 


i 


_  En  noviembre,  George  W.  Bush  revalida  su  titulo  en  la  Casa  Blanca  batiendo  al  senador  John 
Kerry. 


En  diciembre,  Symantec  Corp  se  funde  con  Veritas  Software  Corp. 


_  El  26  de  diciembre  se  produce  una  de  las  mayores  catastrofes  naturales  de  toda  la  historia.  Un  tremendo 
terremoto  de  magnitud  9,3  sacude  el  sudoeste  de  Asia.  El  epicentro  se  encuentra  en  la  costa  oeste  de  la 
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isla  de  Sumatra.  Su  fuerza  es  tal,  que  genera  un  monstruoso  tsunami  que  devora  las  costas  cercanas  de 
Tailandia,  India,  Sri  Lanka,  las  Maldivas,  Malasia,  Myanmar,  Bangladesh  e  Indonesia.  Una  gigantesca  ola 
de  decenas  de  metros  de  alto  se  introduce  varios  kilometres  tierra  adentro,  arrastrando  y  destruyendo  todo 
lo  que  encuentra  a  su  paso.  Los  muertos  oficiales  ascienden  a  186.983  aunque  mas  de  40.000  personas 
siguen  desaparecidas  hoy. 


Seguridad  Informatica 


_  A  principios  de  ano  el  grupo  de  trabajo  de  la  IETF  (responsable  de  la  definition  de  las 
extensiones  de  seguridad  en  el  protocolo  DNS)  solicita  a  la  comunidad  su  opinion  sobre  los 
cambios  propuestos  para  definir  DNSSEC.  No  tendria  mucho  exito.  A  raiz  del  problema 
descubierto  en  2008,  se  replantearia  con  fuerza  su  uso  mas  generalizado. 


Eneneroapareceenescena  Bagle  y  con  el 
culmina  la  “epocaromantica”  del  malware 
para  pasara  la  era  de  la  industrializacion 
o  malware  2.0.  Su  primera  version  sentaba 
las  bases  de  evoluciones  posteriores  que 
durante  todo  2004  alcanzaria  un  nivel 
de  sofisticacion  insospechado  hasta  la 
fecha.  Los  primeros  Bagle  tenian  fecha 
de  caducidad  propia  apenas  10  dias 
despues  de  ser  lanzados.  Se  propagaban 
por  correo  electronico.  La  version  B  abria 
una  puerta  trasera  en  el  puerto  8866.  De 
forma  periodica  intentaba  conectar  con 
varios  servidores  HTTP,  incluyendo  en  esa 
peticion  el  puerto  abierto  en  el  sistema  infectado  y  un  identificador  especial.  Esto  parecia 
ser  un  sistema  de  notificacion  ideado  por  el  creador  del  virus  para  tener  controlados  los 
sistemas  infectados  (practica  habitual  desde  entonces).  Las  diversas  variantes  de  Bagle, 
conjuntamente  con  otros  gusanos  con  los  que  coincidio  en  el  tiempo,  provocarian  por  si 
solos  en  los  dos  primeros  meses  de  2004  mas  actividad  virica  que  la  registrada  por  todo  el 
malware  anterior  durante  todo  el  ano  2003. 


m 
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_  En  enero  Microsoft  anuncia  la  firma  de  un  acuerdo  con  el  Gobierno  espanol,  que  se  adhiere  asi  al 
Programa  de  Seguridad  para  Gobiernos  (Government  Security  Program,  GSP).  Este  acuerdo 
significa  que  los  expertos  en  seguridad  del  Centro  National  de  Inteligencia  (CNI),  dependiente  del 
Ministerio  de  Defensa,  podran  acceder  al  codigo  fuente  de  Windows,  y  a  toda  la  information  tecnica  que 
precisen  para  auditar  las  caracteristicas  de  seguridad  de  la  plataforma  Windows.  Poco  despues,  y  sin 
relation  con  el  programa  GSP,  se  filtran  660  megas  de  codigo  fuente  de  Windows  NT  y  2000  en  redes  de 
pares  con  el  nombre  “wind0ws_2000_s0urce_c0de.zip” 

_  En  enero  aparece  otro  malware  clasico:  Mydoom.  Se  distribuye  tambien  por  correo  electronico. 
Cuando  todavia  no  han  transcurrido  48  horas  desde  la  explosion  del  gusano  Mydoom,  se  aprecia  una 
segunda  version  que  apenas  es  reconocida  por  los  antivirus.  En  febrero,  el  gusano  Doomjuice  aprovecharia 
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la  puerta  trasera  de  Mydoom  para  instalarse.  Sus  principales  objetivos  son  atacar  la  web  de  Microsoft  y 
realizar  barridos  de  direcciones  IPs  buscando  este  puerto  abierto.  Cuando  localiza  uno,  establece  una 
conexion  y  envia  una  copia  del  ejecutable  de  Doomjuice,  que  el  backdoor  de  Mydoom  se  encarga  de  recibir 
y  ejecutar  en  el  sistema.  Comienza  una  guerra  entre  creadores  de  malware,  que  les  lleva  a  dejarse  mensajes 
sarcasticos  en  los  codigos  de  los  especimenes,  aprovechar  funcionalidades  de  otros  e  incluso  desinfectar 
al  usuario  del  malware  “enemigo”. 

_  En  marzo,  Netsky.P  es  el  mas  propagado  del  momento,  y  lo  seria  durante  incluso  anos  mas  tarde. 

_  El  23  de  marzo  el  equipo  de  GNOME  hace  publica  una  intrusion  en  sus  sistemas  informaticos.  El 
personal  tecnico  encargado  de  la  administration  de  gnome.org  comunica  publicamente  la  deteccion  de 
una  intrusion  en  su  servidor  web.  Todos  los  servidores  gnome.org  son  desconectados  inmediatamente, 
para  evaluar  la  profundidad  de  la  intrusion  y  evitar  que  los  usuarios  accediesen  a  information  y  codigo 
fuente  comprometido. 

_  En  abril  Bagle  se  alia  con  spammers  para  distribuirse  junto  a  fotografias,  una  practica  que  todavia 
perdura.  El  ancho  de  banda  en  los  hogares  aumenta,  asi  que  el  gusano  Bagle  puede  permitirse,  entre  otras 
formas  de  envio,  simular  ser  un  mensaje  de  una  mujer  y  dotar  a  los  correos  con  diferentes  fotografias 
sugerentes,  lo  que  lo  dota  de  mayor  realismo. 

_  En  mayo,  Sasser  infecta  automaticamente  sistemas  Windows  2000  y  XP  vulnerables,  convirtiendose 
en  una  epidemia  parecida  a  la  que  protagonizo  Blaster.  Aprovecha  un  desbordamiento  de  memoria 
intermedia  en  el  servicio  LSASS  de  Windows  para  infectar  a  otros  sistemas  de  forma  automatica.  Deja  una 
puerta  trasera  que  permite  la  intrusion  a  terceros.  La  propagation  de  Sasser  en  internet  va  en  aumento 
exponencial,  afectando  a  usuarios  domesticos  y  servidores  que  no  cuentan  con  las  minimas  medidas  de 
seguridad  (con  el  puerto  445  TCP  sin  filtrar). 


En  mayo  se  da  a  conocer  la  historia  de 
Guillaume  contra  Tegam.  Un  cientifico 
frances  se  enfrenta  a  una  posible  pena 
maxima  de  dos  anos  de  carcel  y  multa 
de  150.000  euros,  tras  ser  demandado  por 
descubrir  y  publicar  varias  debilidades 
en  el  software  antivirus  de  Tegam.  En 
Hispasec  se  le  da  un  especial  seguimiento 
puesto  que  el  resultado  podria  crear 
un  importante  precedente  sobre  la 
investigacion  independiente  en  materia 
de  seguridad  informatica. 


■1 


Guillaume  publica  en  su  pagina  web  personal  bajo  el  apodo  de  “Guillermito",  algunos 
analisis  sobre  vulnerabilidades  que  ha  detectado  en  diversas  soluciones  de  seguridad. 
El  seudonimo  es  un  guino  a  sus  ralces,  puesto  que  sus  abuelos  eran  espanoles  y  migraron 
a  Francia  antes  del  comienzo  de  la  Guerra  Civil.  En  2002  habia  publicado  un  analisis 
del  antivirus  frances  ViGUARD  (de  Tegam  International),  en  el  que  demostraba  que  la 
publicidad  del  producto  era  falsa  al  anunciar  la  deteccion  del  100%  de  virus  conocidos  o 
no.  Es  mas,  realizaba  sencillas  pruebas  que  ponlan  muy  en  duda  la  eficacia  del  programa 
para  la  deteccion  de  muestras  realmente  simples.  A  ralz  de  sus  investigaciones  publicadas, 


Una  al  dia.  Once  anos  de  seguridad  informatica  -  2004  - 


149 


en  octubre  de  2003  Guillaume  tuvo  que  responder  a  algunas  cuestiones  ante  el  grupo 
de  la  policia  francesa  que  se  encarga  de  los  casos  relacionados  con  las  tecnologias 
de  la  informacion.  Tambien  se  vio  obligado  a  acudir  al  Juzgado  de  Instruccion  de  Paris, 
atendiendo  a  la  convocatoria  de  primera  comparecencia  sobre  una  acusacion  de  Tegam 
International. 

Se  la  acusaba  de  presunta  “falsificacion  de  programas  informaticos  y  ocultacion  de  estos 
delitos”,  escudandose  para  ello  en  varios  articulos  del  codigo  de  la  propiedad  intelectual 
y  el  codigo  penal.  En  un  principio  Tegam  Internacional  emprendio  una  agresiva  campa- 
na  de  marketing,  con  anuncios  en  publicaciones  donde  literalmente  llamaba  “terrorista 
informatico"  a  “Guillermito".  Acusacion  que  cobraba  una  especial  relevancia  si  tenemos 
en  cuenta  que  apenas  habian  transcurridos  unos  meses  desde  el  11  de  septiembre.  El  sitio 
web  de  Guillaume  que  hospedaba  en  un  servidor  trances  desaparece  junto  con  todo  el 
que  se  habia  hecho  eco  de  su  estudio.  Finalmente,  tras  el  trabajo  de  su  abogado,  se  reti- 
ran  la  mitad  de  los  cargos  esgrimidos  contra  Guillaume,  pero  debe  afrontar  los  de  “falsifi¬ 
cacion  de  informacion”.  El  juicio,  tras  programarse  para  octubre,  se  retrasa  hasta  primeros 
de  2005.  La  historia  seguiria. 


_  Del  31  de  mayo  al  4  de  junio  la  ciudad  de  Santiago  de  Compostela  acoge  la  IV  Semana  Internacional 
de  las  TIC,  que  comprende  cuatro  congresos  internacionales:  Seguridad  Informatica  y  Legislation  en  el 
Comercio  Electronico,  Bases  de  Datos  y  Programacion,  Open  Source,  y  Movilidad.  Acuden  Bernardo 
Quintero  y  Julio  Canto  con  la  conferencia  “EL  MAYOR  ANTIVIRUS  DEL  MUNDO:  VIRUSTOTAL”. 
Seria  la  primera  presentation  publica  de  Virustotal.com,  tras  un  desarrollo  de  un  ano. 

_  En  julio  se  anuncia  la  primera  vulnerabilidad  en  Gmail.  No  se  hacen  publicos  los  detalles. 

_  En  julio,  las  nuevas  versiones  de  Bagle,  Bagle.AH  o  Bagle.AI  (la  denomination  varia  segun  el  motor 
antivirus)  consigue  los  mayores  ratios  de  propagation. 

_  El  CERT/CC  y  el  Servicio  Secreto  de  los  Estados  Unidos  publican  un  estudio  que  analiza  los  ataques 
informaticos  realizados  desde  dentro  de  las  empresas  del  sector  bancario  y  fnanciero. 

_  En  verano,  la  nueva  version  del  gusano  Mydoom  destaca  por  realizar  peticiones  a  los  servicios  de 
busqueda  de  Google,  Yahoo,  Altavista  y  Lycos  para  recopilar  direcciones  de  correo  a  las  que  enviarse. 

Algunos  antivirus  actualizan  hasta  8  veces  en 
una  hora  para  poder  hacer  frente  a  la  aparicion 
salvaje  de  variantes.  Son  tantos  los  infectados 
que  realizan  peticiones  de  forma  automatica  e 
involuntaria  a  los  buscadores  que  caen  varios 
servidores  de  Google.  Necesita  varias  horas  para 
restaurar  la  normalidad.  Google  se  vio  obligada 
desde  entonces  a  instalar  una  medida  de  seguridad 
que,  ante  ciertas  busquedas  sospechosas,  pide  al 
usuario  un  CAPTCHA  para  comprobar  que  no 
estan  siendo  automatizadas.  Hoy  en  dia  esa  caracterlstica  de  Mydoom  es  todavia  muy  usada,  gracias  a 
que  los  atacantes  han  conseguido  saltarse  la  seguridad  proporcionada  por  los  CAPTCHAS  con  sistemas 
automatizados. 


Google  Error 
We're  sorry... 

...  but  your  query  looks  similar  to  automated  requests  Irom  a  computer  virus  or  spyware  application  To  protect  our  users,  we 
cant  process  your  request  right  now. 

Well  restore  your  access  as  quickly  as  possible,  so  by  again  soon.  In  the  meantime,  it  you  suspect  that  your  computer  or 
network  has  been  infected,  you  might  want  to  run  a  .  us  chec  Her  or  stj.vre  repwvet  to  make  sure  that  your  systems  are  bee  ot 
viruses  and  other  spurious  software 

We  apologize  for  the  inconvenience,  and  hope  well  see  you  again  on  Google. 

To  continue  searching,  please  type  the  characters  you  see  below:  jiubf^ 

tubva 
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_  La  Fundacion  Mozilla  ofrece  una  recompensa  de  500  dolares  por  cada  informe  de  vulnerabilidad  en 
sus  productos.  Las  condiciones  son  matizables.  Sentaria  precedente  para  otras  campanas  de  recompensa 
por  busqueda  y  comunicacion  responsable  de  vulnerabilidades. 

_  Aparecen  grandes  listas  de  aplicaciones  incompatibles  con  el  Service  Pack  2  para  Windows  XP. 
El  principal  problema  es  que  el  Service  Pack  activa  el  cortafuegos  entrante  por  defecto.  Es  el  Service  Pack 
que  mas  modificaciones  realiza  sobre  el  sistema.  Se  trata  practicamente  de  una  actualization  de  version 
de  sistema  operativo.  La  seguridad  de  XP  mejora  considerablemente.  Microsoft  publica  una  herramienta 
para  bloquear  la  instalacion  del  paquete.  Pasaria  casi  un  ano  hasta  que  Microsoft  volviese  inefectiva  esta 
herramienta  y,  aun  instalada,  obligara  a  la  aplicacion  del  Service  Pack. 

_  En  septiembre,  Bagle  sigue  campando  a  sus  anchas  sobre  los  sistemas  Windows.  Se  detecta  que  la 
version  del  momento  no  es  un  gusano  (no  se  propaga  por  si  mismo),  sino  una  especie  de  troyano  que  tiene 
como  mision  finalizar  la  ejecucion  de  varios  procesos  de  antivirus  que  pudieran  estar  activos  en  el  sistema 
y  desactivar  el  cortafuegos  de  Windows,  para  evitar  asi  ser  detectado.  Ademas  de  intentar  descargar  lo  que 
podrian  ser  nuevos  componentes  del  gusano.  Tiene  como  fuente  131  sitios  webs  distintos  de  Internet.  Las 
caracteristicas  del  malware  2.0  se  consolidan. 

_  En  un  movimiento  similar  al  que  adoptase  Microsoft  meses  atras,  Oracle  anuncia  que  distribuira  las 
actualizaciones  de  sus  productos  de  forma  mensual.  Esta  nueva  politica  y  los  argumentos  son  exactamente 
los  mismos  que  los  que  Microsoft  establecio  a  finales  de  2003  y  que,  en  lo  que  a  marketing  se  refiere, 
le  da  buenos  resultados.  Oracle  recibe  fuertes  criticas.  Durante  mas  de  8  meses  existian  hasta  34 
vulnerabilidades  reconocidas  por  la  propia  compama,  que  no  ofrecia  parche  a  sus  clientes.  El  31  de  agosto 
publica  el  primero  de  sus  superparches  sin  dar  explicaciones  ni  detalles.  Poco  despues  Oracle  ofreceria  sus 
parches  trimestralmente.  La  seguridad  de  Oracle  es  un  desastre  y  no  es  hasta  2007  que  comenzaria  con 
timidas  mejoras  para  solucionar  sus  carencias  en  cuestion  de  seguridad. 

_  En  noviembre  se  detecta  Banker-AJ.  Unicamente  se  activa  cuando  el  usuario  visita  determinadas 
sedes  web  de  bancos  ingleses,  capturando  las  credenciales  de  acceso  e  incluso  capturando  las  pantallas 
para  conocer  el  estado  de  las  cuentas  corrientes.  Banker-AJ  representa  una  nueva  evolution  en  el  malware, 
altamente  especializado  y  con  un  objetivo  muy  concreto.  Cada  dias  es  mas  dificil  definirlos  como  simples 
virus,  gusanos,  troyanos  y  otras  variantes.  La  mayoria  de  los  virus  actuales  utilizan  las  tacticas  de  los 
gusanos  para  su  distribution  y  muchos  troyanos  pueden  actuar  como  autenticos  virus  y  sus  funcionalidades 
son  muy  variadas.  Banker  se  convertiria  en  toda  una  familia  que,  ante  la  imposibilidad  de  una  ordenacion 
coherente,  albergaria  cientos  de  miles  de  troyanos  con  estas  caracteristicas  que  aparecerian  en  el  futuro. 
La  banca  online  se  convierte  ya  en  objetivo  preferente  para  el  malware.  Se  siguen  armando  lentamente  las 
piezas  del  panorama  virico  actual. 

_  En  noviembre  la  version  de  Sober.I  se  extiende  por  Europa.  El  gusano  utiliza  textos  en  aleman  para 
enviarse  por  correo  electronico  en  caso  de  detectar  que  la  direction  de  destino  pertenece  a  un  pais  de 
habla  alemana,  utilizando  el  ingles  para  el  resto. 

_  En  noviembre  Hispasec  publica  un  polemico  estudio.  Se  refleja  que  el  diseno  de  un  44%  de  las  paginas 
web  bancarias  espanolas  favorece  el  phishing.  El  estudio  esta  centrado  en  analizar  los  aspectos 
de  diseno  de  la  primera  pagina  web  de  las  50  principales  entidades  bancarias  en  Espana.  Esta  primera 
pagina  de  autenticacion  del  usuario  pueden  permitir  0  facilitar  el  exito  de  ataques  phishing.  Todas  las 
entidades  bancarias  analizadas  realizan  correctamente  la  transmision  de  datos  de  forma  cifrada,  sin 
embargo  algunas  de  ellas,  por  motivos  de  diseno,  usabilidad,  etc.  ocultan  la  url  con  HTTPS  en  algun 
frame,  lo  que  dificulta  a  los  usuarios  la  comprobacion  de  que  se  encuentran  en  el  sitio  correcto.  Un  mes 
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despues,  mas  de  un  tercio  de  ellas  han  corregido  sus  deficiencias,  quedando  solo  16 
paginas  “deficientes”.  El  dato  es  significativo  teniendo  en  cuenta  el  corto  espacio  de 
tiempo  transcurrido,  lo  que  muestra  la  importancia  e  impacto  que  tuvo  el  estudio. 

_  Despues  de  semanas  de  crlticas  y  una  sonada  campana  publicitaria,  Lycos  Europa 
decide  suspender  el  polemico  programa  antispam  titulado  “Make  love  not  Spam”. 

El  programa  consiste  en  la  descarga  gratuita  de  un  salvapantallas  para  usuarios 
de  Windows  o  Mac  que  cuando  es  activado  envia  peticiones  inocuas  a  un  servidor 
conocido  de  distribution  de  correo  basura.  Se  busca  que  el  efecto  combinado  de  todos  los  salvapantallas 
descargados  provoque  una  saturation  de  la  maquina  por  congestion  de  trafico.  La  polemica  idea,  tan 
criticada  como  alabada,  pretendia  alimentarse  de  bases  de  listas  negras  reputadas  como  Spamcop.  Es 
rechazada  por  suponer  una  verdadera  guerra  “sucia”  contra  la  basura.  Pero  se  pone  en  marcha  y  al  poco, 
Lycos  sufre  su  propia  medicina  cuando  un  avispado  spammer  redirecciona  los  ataques  hacia  la  propia 
pagina  de  la  campana  makelovenotspam.com  que  cae  durante  horas.  Lycos  promete  la  vuelta  del  proyecto 
pero  nunca  se  haria  realidad. 

_  El  15  de  diciembre  una-al-dia  comienza  a  estar  tambien  disponible  a  traves  de  RSS. 


Una  al  dia 


08/02/2004  Un  90%  de  las  aplicaciones  web  son  inseguras 

Segun  un  estudio  realizado  durante  los  ultimos  cuatro  anos  por  WebCohort,  tan  solo  un  10  por  ciento  de 
las  aplicaciones  web  pueden  considerarse  seguras  ante  cualquier  tipo  de  ataque.  En  estos  datos  se  incluyen 
sitios  de  comercio  electronico,  banca  online,  B2B,  sitios  de  administration,  etc. 

Los  estudios  realizados  han  concluido  que  al  menos  un  92%  de  las  aplicaciones  web  eran  vulnerables  a 
algun  tipo  de  ataque.  Los  problemas  mas  comunes  son  las  vulnerabilidades  de  cross-site  scripting  (80%), 
inyeccion  SQL  (62%)  y  falsification  de  parametros  (60%).  En  las  auditorias  realizadas  por  Hispasec 
Sistemas  tambien  hemos  podido  comprobar  como  este  tipo  de  problemas  son  mas  habituales  de  lo  que 
cabria  desear,  lo  que  evidencia  que  la  mayoria  de  las  empresas  no  aseguran  adecuadamente  sus  sitios  web, 
aplicaciones  y  servidores  contra  cualquier  tipo  de  intrusion. 

La  gravedad  de  estos  problemas  reside  en  como  los  ataques  se  realizan  contra  la  propia  aplicacion  web, 
el  uso  de  las  defensas  habituales  como  firewalls,  detectores  de  intrusos,  etc.  en  la  mayoria  de  los  casos  se 
muestran  ineficientes.  Los  atacantes  podran  acceder  a  datos  de  usuarios,  de  la  empresa,  detener  sitios 
web,  modificar  la  information  del  sitio  web,  e  incluso  llegar  a  ejecutar  comandos  en  el  servidor  sin  ser 
detectado  en  ningun  momento. 

Ya  en  el  2001,  Gartner  Group  anuncio  que  el  75%  de  los  ataques  informaticos  a  traves  de  Internet  eran 
realizados  a  traves  de  las  aplicaciones  web.  En  la  actualidad  es  facil  comprobar  como  persiste  el  mismo 
problema. 


Antonio  Ropero 
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15/02/2004  tCuanto  se  tarda  en  resolver  una  vulnerabilidad? 

En  el  momento  en  que  se  anuncio  la  disponibilidad  del  parche  para  la  vulnerabilidad  en  la  biblioteca 
ASN.i  de  Windows,  los  descubridores  del  problema  mostraron  publicamente  su  queja  por  el  prolongado 
periodo  de  tiempo  que  transcurrio  entre  el  descubrimiento  y  la  disponibilidad  del  parche,  especialmente 
teniendo  en  cuenta  la  criticidad  del  problema. 

Cuando  se  publico  el  reciente  parche  MS04-007,  eEye  (la  empresa  que  habia  descubierto  el  problema) 
publico  un  boletin  con  la  description  tecnica  el  problema,  como  suele  hacer. 

Pero  en  esta  ocasion,  el  boletin  era  ligeramente  diferente.  Para  ilustrar  el  prolongado  lapso  de  tiempo  que 
transcurrio  entre  el  descubrimiento  y  notification  del  problema  (finales  de  julio  de  2003)  y  la  disponibilidad 
del  parche  (febrero  de  2004),  eEye  anadio  un  preambulo  al  boletin  con  el  texto  de  una  cancion. 

Por  si  no  fuera  poco,  eEye  explicaba:  “Nos  hubiera  gustado  escribir  un  poema  del  tipo  “Una  noche  antes 
de  Navidad”,  pero  el  fabricante  ha  dejado  pasar  algunas  fechas,  por  lo  que  debemos  de  acudir  a  MC(SE) 
Hammer”.  A  continuation,  publicaban  la  letra  de  la  cancion  “U  Can’t  Trust  This”  (“No  puedes  confiar  en 
esto”).  Esta  cancion,  por  descontado,  incluye  un  buen  numero  de  referencias  a  los  diversos  problemas  de 
seguridad  que  ha  sufrido  recientemente  Windows. 

En  varias  ocasiones,  desde  Hispasec,  hemos  comentado  el  metodo  traditional  (y  no  escrito)  utilizado  por  la 
comunidad  especializada  en  seguridad  informatica  en  lo  referente  al  descubrimiento  de  vulnerabilidades. 
Asi,  tradicionalmente,  se  suele  poner  en  preaviso  a  la  empresa  afectada,  facilitando  toda  la  information 
tecnica  y  todos  los  detalles  conocidos  en  primer  lugar  a  la  empresa  y,  en  la  medida  que  sea  posible,  colaborar 
en  la  resolution  del  problema. 

Por  su  parte,  el  descubridor  de  la  vulnerabilidad  asume  el  compromiso  moral  de  no  desvelar  la  existencia 
de  la  misma  hasta  que  el  fabricante  no  distribuya  publicamente  la  actualization  necesaria  para  eliminar 
el  problema. 

<LEs  normal  tardar  mas  de  28  semanas  en  publicar  un  parche  para  una  vulnerabilidad  tan  importante 
como  esta? 

Se  puede  aducir,  por  parte  del  fabricante,  que  el  desarrollo  de  una  actualization  no  es  una  tarea  trivial,  ya 
que  se  hace  necesario  investigar  y  verificar  que  las  modificaciones  efectuadas  no  afectan  negativamente 
al  funcionamiento  normal  y  esperado  del  producto.  Igualmente,  deben  utilizarse  unos  mecanismos  muy 
precisos  para  garantizar  que  las  modificaciones  efectuadas  pasan  a  formar  parte  del  repositorio  oficial  del 
producto  (evitando,  de  esta  forma,  los  problemas  de  regresiones). 

Pero  incluso  asumiendo  estos  condicionantes  que  acabamos  de  citar,  un  periodo  de  28  semanas  (200 
dias)  es  muy  dificil  de  justificar.  Durante  todo  este  tiempo  Microsoft  ha  conocido  la  existencia  de  una 
importante  vulnerabilidad  de  seguridad,  que  afectaba  a  un  gran  numero  de  sus  productos  (incluyendo  sus 
buques  insignias)  y  que  podia  ser  utilizada  por  atacantes  remotos  para  ejecutar  codigo  de  forma  impune 
e  incontrolable. 

Otras  vulnerabilidades 

eEye  parece  que  se  ha  cansado  de  esperar  indefinidamente  la  respuesta  de  Microsoft  a  los  problemas 


Una  al  dia.  Once  anos  de  seguridad  informatica  -  2004  - 


153 


que  van  descubriendo.  Asi,  acaba  de  publicar  una  pagina  de  “proximos  avisos”,  indicando  la  fecha  de  la 
notification  y  el  numero  de  dias  que  han  transcurrido  sin  que  Microsoft  aporte  una  solution. 

En  esa  relation  de  vulnerabilidades  existentes  y  no  solucionadas,  por  lo  que  cualquier  intruso  que  conozca 
su  existencia  puede  sacar  provecho  de  las  mismas,  eEye  avisa  de  la  existencia  de  cinco  vulnerabilidades 
criticas  (aquellas  que  permiten  la  ejecucion  de  codigo  por  un  atacante  remoto)  que  afectan  potencialmente 
a  varios  centenares  millones  de  usuarios.  Tambien  se  citan  tres  vulnerabilidades  de  severidad  media  y  una 
vulnerabilidad  de  severidad  baja. 

Todas  estas  vulnerabilidades  han  sido  convenientemente  notificadas  a  Microsoft  y  el  lapso  de  tiempo  que 
ha  transcurrido  es,  en  el  momento  de  redactar  este  boletin,  entre  o  y  98  dias.  Sin  llegar,  de  momento,  al 
extremo  recientemente  vivido  con  la  vulnerabilidad  en  la  biblioteca  ASN.i,  a  mi  entender  98  dias  ya  es  un 
periodo  de  tiempo  demasiado  prolongado  para  una  vulnerabilidad  critica. 


Xavier  Caballe 


28/02/2004  Cambios  en  la  arquitectura  de  los  PC 

En  los  ultimos  meses,  han  aparecido  diversos  anuncios  sobre  los  cambios  previstos  en  la  arquitectura  de 
los  PC  para  aumentar  la  protection  ante  las  incidencias  de  seguridad. 

Hace  ya  mas  de  veinte  anos,  IBM  presento  su  primer  ordenador  PC  con  un  procesador  Intel  8088  a  4,77 
MHz.  Los  ordenadores  que  hoy  podemos  encontrar  en  cualquier  tienda  de  informatica  son  una  evolution 
de  aquel  diseno  original,  aunque  basicamente  los  fundamentos  contimian  siendo  los  mismos. 

En  la  actualidad  existe  un  consorcio  de  empresas,  la  Trusted  Computing  Platform  Alliance  formado  por 
Microsoft,  IBM,  HP,  Intel,  AMD  y  otros.  Su  objetivo  es  cambiar  la  filosofia  basica  de  los  ordenadores 
PC.  Asi,  el  PC  dejaria  de  ser  un  equipo  de  proposito  general  donde  es  el  usuario  quien  decide  el  software 
a  ejecutar  (0  dispone  como  minimo  de  la  posibilidad  teorica  de  decidirlo)  para  convertirse  en  una  caja 
cerrada  donde  solo  puede  ejecutarse  aquel  software  que  el  fabricante  ha  autorizado  expresamente. 

Es  decir,  a  grandes  rasgos  lo  que  pretenden  estos  fabricantes  es  convertir  un  PC  en  el  equivalente  a  una 
videoconsola  de  juegos  como  las  Playstation,  Gameboy,  Xbox  y  similares. 

No  obstante,  en  este  boletin  nos  centraremos  en  dos  cambios  mas  proximos  y  que  seguramente  veremos 
en  los  proximos  meses:  la  desaparicion  del  BIOS  y  la  incorporation  de  medidas  de  protection  en  los 
procesadores. 

Desaparicion  del  BIOS 

El  BIOS  (Basic  Input/Output  System,  sistema  basico  de  entrada/salida)  es  el  primer  software  que  ejecuta 
el  procesador  en  el  momento  de  arrancar  (o  reiniciar)  el  ordenador,  antes  de  la  carga  del  sistema  operativo. 
Su  funcion  basica  es  realizar  un  chequeo  del  ordenador  y  ofrecer  acceso  a  los  perifericos  conectados  al 
sistema.  El  BIOS  es  uno  de  los  pocos  componentes  de  la  arquitectura  de  los  PC  que  practicamente  no  ha 
variado  desde  el  primer  PC. 

Como  sustituto  del  BIOS,  Intel  y  Microsoft  proponen  una  especificacion  denominada  EFI  (Extensible 
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Firmware  Interface).  El  objetivo  es  permitir  un  arranque  mas  rapido  del  ordenador.  Adicionalmente 
permite  realizar  actividades  como  la  identification  de  la  presencia  de  virus  informaticos,  especialmente 
aquellos  que  se  instalan  en  el  sector  de  arranque  o  modifican  los  archivos  de  initialization  del  sistema 
operativo. 

Mecanismos  de  proteccion  en  los  procesadores 

El  siguiente  cambio  anunciado  recientemente  es  la  inclusion  de  mecanismos  en  los  procesadores  para 
evitar  que  los  desbordamientos  de  buffer  puedan  ser  utilizados  para  la  ejecucion  de  codigo.  Basicamente 
consiste  en  que  los  datos  que  se  encuentran  en  el  buffer  son  considerados  como  de  solo  lectura  y  no  puede 
ser  ejecutado. 

Los  dos  principales  fabricantes  de  procesadores,  Intel  y  AMD  han  anunciado  de  forma  independiente  la 
inclusion  de  estos  mecanismos.  No  se  trata,  por  descontado,  de  ninguna  novedad.  Ya  hace  anos  que  los 
procesadores  SPARC  de  Sun  disponen  de  mecanismos  similares. 

Esta  proteccion  ya  forma  parte  de  los  procesadores  Athlon  64  de  AMD  actualmente  disponibles.  Por  su 
parte,  los  futuros  procesadores  Prescott  de  Intel  (nombre  en  clave  de  la  version  mejorada  del  Pentium  4 
con  extensiones  de  64-bit)  incluiran  algunas  prestaciones  similares. 

Sin  una  proteccion  de  este  tipo,  un  programa  que  no  realice  una  comprobacion  adecuada  de  los  datos 
introducidos  por  el  usuario  es  susceptible  de  sufrir  un  ataque  de  desbordamiento  de  buffer.  En  este  tipo 
de  ataques,  se  envia  una  gran  cantidad  de  datos,  mayor  de  lo  que  inicialmente  esta  previsto. 

Como  el  area  de  memoria  inicialmente  reservada  no  puede  almacenar  esta  gran  cantidad  de  datos,  estos 
sobreescriben  otras  areas  de  memoria.  En  determinadas  circunstancias,  este  codigo  puede  ser  controlado 
por  el  atacante  para  enviar  codigo  ejecutable  que  podra  ser  utilizado  de  forma  remota. 

Es  importante  indicar,  no  obstante,  que  para  sacar  provecho  de  esta  capacidad,  el  sistema  operativo  ha  de 
incluir  codigo  para  utilizar  estas  nuevas  funcionalidades.  No  es  algo  que  automaticamente  pueda  ser 
utilizado,  sino  que  el  sistema  operativo  que  se  ejecute  debe  activarlas. 


Xavier  Caballe 


26/03/2004  Flecos  de  las  soluciones  antivirus 

En  plena  oleada  de  gusanos  informaticos  son  mas  evidentes  los  problemas  que  originan,  como  efecto 
colateral,  algunas  caracteristicas  de  las  soluciones  antivirus.  Aunque  no  dejan  de  ser  incidentes  que  en 
teoria  no  afectan  de  forma  directa  a  la  seguridad  del  sistema,  la  realidad  es  que  pueden  desembocar  en 
todo  tipo  de  situaciones. 

Uno  de  los  problemas  mas  comunes  son  los  avisos  que  originan  algunas  soluciones  antivirus  para  alertar 
y  avisar  a  los  remitentes  de  los  mensajes  infectados.  En  un  principio  podia  considerarse  una  funcion  util, 
pero  hace  ya  tiempo  que  la  mayoria  de  los  gusanos  falsean  la  direccion  de  remite  cuando  se  propagan.  El 
resultado  es  que  estas  soluciones  antivirus  envian  un  mensaje  alertando  a  una  direccion  de  correo  que  en 
realidad  no  ha  enviado  el  virus. 

Muchos  de  nosotros  habremos  recibido  algun  que  otro  mensaje  avisandonos  de  que  hemos  enviado  un 
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virus  y  estamos  infectados,  cuando  en  realidad  lo  unico  que  ha  sucedido  es  que  el  gusano  ha  enviado 
desde  otro  ordenador  infectado,  que  nada  tiene  que  ver  con  nosotros,  un  mensaje  con  nuestro  e-mail  como 
remite  falseado. 

A  partir  de  aqui  se  originan  situaciones  para  todos  los  gustos.  Desde  aquellos  usuarios  que  se  creen  el 
aviso  y  optan  por  apagar  el  sistema  y  buscar  ayuda,  hasta  aquellos  que  escriben  al  destinatario  para 
recomendarle  que  cambie  de  solucion  antivirus  y  que  deje  de  alertar  a  los  usuarios. 

Ademas,  por  si  no  fuera  poco  con  el  spam  y  los  propios  gusanos,  hemos  de  soportar  el  trafico  de  esta  nueva 
plaga  de  mensajes  no  deseados,  que  bien  podriamos  considerar  tambien  spam,  no  en  vano  los  avisos 
suelen  incluir  el  nombre  del  antivirus  y  un  enlace.  Primero  te  dicen  que  estas  infectado,  y  luego  te  envian 
a  la  herramienta  que  lo  detecta  y  desinfecta,  no  hay  publicidad  mas  directa. 

La  solucion  mas  simple  pasa  por  que  las  soluciones  antivirus  no  contemplen  la  funcionalidad  de  aviso  a  los 
remitentes  de  mensajes  infectados.  Otra  option,  mas  elegante,  y  que  permite  mantener  la  utilidad  de  las 
notificaciones,  es  que  los  antivirus  no  realicen  el  aviso  de  forma  indiscriminada,  como  hasta  ahora,  sino 
que  solo  lo  hagan  en  el  caso  de  virus,  troyanos,  o  gusanos  que  no  realizan  la  falsification  del  remitente, 
algo  muy  facil  para  ellos,  ya  que  les  basta  con  incluir  una  simple  marca  en  las  firmas  de  detection  para 
reconocer  en  que  casos  no  deben  avisar. 

Otro  de  los  efectos  colaterales  mas  comunes  se  detecta  en  aquellas  soluciones  antivirus  de  servidor  de 
correo  que  desinfectan  el  archivo  adjunto  infectado  pero  que  dejan  pasar  el  mensaje  del  gusano,  a  veces 
con  parte  de  los  archivos  adjuntos  incluido.  Son  muchos  los  usuarios  que  se  alertan  al  recibir  este  tipo  de 
mensaje,  ya  que  creen  que  se  trata  de  mensajes  infectados,  y  reclaman  a  los  administradores  de  sistemas. 

Como  anecdota,  una  importante  organization  ha  enviado  recientemente  un  comunicado  a  todos  sus 
usuarios  avisandoles  que  los  mensajes  en  ingles  que  reciben  ya  han  sido  desinfectados,  en  un  intento 
de  tranquilizarlos  y  evitar  las  continuas  alarmas.  La  realidad  es  que  la  solucion  puede  ser  peor  que  el 
problema,  ique  ocurrira  cuando  de  verdad  se  les  cuele  un  gusano  por  el  antivirus  perimetral?  flos  usuarios 
creeran  que  es  inofensivo  porque  ya  ha  sido  desinfectado? 

De  nuevo  la  solucion  esta  en  manos  de  las  casas  antivirus,  ya  que  es  muy  facil  mantener  una  lista  o  una 
marca  en  las  firmas  de  virus  para  reconocer  los  gusanos  “puros”,  especimenes  que  crean  todo  el  mensaje 
y  se  autoenvian.  En  estos  casos  de  gusanos  “puros”  la  solucion  antivirus  deberia  eliminar  por  complete, 
tanto  el  archivo  adjunto  como  el  mensaje,  y  que  el  usuario  (destinatario)  no  reciba  absolutamente  nada, 
evitando  cualquier  tipo  de  confusion  y  un  trafico  totalmente  innecesario. 


Bernardo  Quintero 


03/05/2004  Gusano  Sasser:  un  mal  menor  que  evidencia  la  falta  de  seguridad 

Cuando  aun  nos  encontramos  en  plena  epidemia,  con  la  aparicion  en  las  ultimas  horas  de  una  cuarta 
variante,  podemos  afirmar  que  el  gusano  Sasser  ha  sido  un  mal  menor.  Todas  las  maquinas  infectadas 
permitian  a  un  intruso  obtener  el  control  total  sobre  ellas,  desde  la  posibilidad  de  sustraer  datos  sensibles 
como  documentos  privados  o  las  claves  de  la  banca  electronica  del  usuario,  hasta  borrar  todo  el  sistema 
local  y  unidades  de  red. 
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A  nadie  escapa  los  quebraderos  de  cabeza  que  Sasser  esta  ocasionando  tanto  en  sistemas  domesticos  como, 
especialmente,  en  redes  corporativas.  Si  bien,  afortunadamente,  el  gusano  solo  estaba  programado  para 
reproducirse,  sin  llevar  a  cabo  ninguna  action  adicional. 

Si  el  creador  del  gusano  hubiera  introducido  una  simple  linea  mas  de  codigo  con  algunas  instrucciones 
daninas,  algo  que  no  requiere  ningun  esfuerzo  tecnico  especial,  podriamos  estar  en  estos  momentos  en 
una  catastrofe  sin  precedentes  que  probablemente  traspasaria  la  barrera  de  lo  estrictamente  informatico, 
por  la  cantidad  y  sensibilidad  de  los  procesos  y  datos  a  los  que  habria  podido  afectar.  Pensemos  por  un 
momento  que  simplemente  hubiera  borrado  todas  las  unidades  a  las  que  tenia  acceso  en  cada  uno  de  los 
ordenadores  infectados. 

En  ningun  caso  pretendo  minimizar  el  dano  causado  por  el  autor  del  gusano,  de  proporciones  incalculables 
y  que  no  tiene  justification  alguna.  En  estos  momentos  ya  hay  varias  investigaciones  en  paralelo  para 
localizar  el  origen  y  llevar  al  autor  ante  la  justicia.  Si  bien,  es  necesario  llevar  a  cabo  un  ejercicio  de 
autocritica  mas  alia  de  culpar  exclusivamente  al  creador  del  mismo  y  ser  conscientes  del  riesgo  real  que 
entrana  no  instalar  puntualmente  los  parches,  no  en  vano  esta  en  juego  la  seguridad  de  todos  los  datos  y 
procesos  dependientes  de  nuestros  sistemas.  iPodemos  permitirnos  arriesgarlos  de  nuevo? 

La  historia  se  vuelve  a  repetir,  una  y  otra  vez. 

Code  Red  y  Nimda  en  el  2001,  0  SQL/Slammer  en  el  2003,  han  sido  claros  exponentes  de  gusanos  de 
propagation  masiva  que  aprovechaban  vulnerabilidades  en  los  productos  de  Microsoft  para  propagarse  de 
forma  automatica.  Mucho  mas  peligrosos  que  los  tipicos  gusanos  que  se  propagan  por  el  correo  electronico, 
que  requieren  que  el  usuario  los  abra  y  ejecute  para  poder  activarse. 

Sin  ir  mas  lejos,  en  agosto  de  2003  asistimos  a  la  epidemia  global  causada  por  el  gusano  Blaster,  que 
aprovechaba  una  vulnerabilidad  en  un  servicio  estandar  de  Windows,  practicamente  un  calco  a  lo  que  esta 
ocurriendo  con  Sasser. 

El  patron  se  repite.  Gusanos  de  red  que  aprovechan  vulnerabilidades,  cuyos  parches  para  corregirlas  y 
prevenir  la  infection  estaban  disponibles  con  antelacion.  En  todos  los  casos,  desde  Hispasec  advertimos 
por  este  mismo  medio  del  riesgo  potential  que  entranaba  no  instalar  dichos  partes,  incluso  pronosticando 
la  aparicion  de  gusanos. 

Llegados  a  este  se  puede  discutir  el  grado  de  responsabilidad  de  Microsoft  en  el  origen  delas  vulnerabilidades, 
su  politica  de  distribution  de  parches,  esperar  a  que  incorpore  y  active  por  defecto  un  firewall  personal, 
barajar  la  posibilidad  de  migrar  a  otro  sistema  operativo  con  menos  indices  de  virus  y  gusanos,  o  la 
necesidad  de  que  los  antivirus  cambien  su  modelo  reactivo  que  a  todas  luces  es  mas  que  insuficiente 
contra  este  tipo  de  gusanos,  capaces  de  infectar  miles  de  sistemas  en  cuestion  de  minutos. 

Otra  option,  que  no  excluye  todo  lo  anterior  y  a  muchos  mas  factores,  es  empezar  por  hacer  autocritica 
constructiva,  y  que  los  afectados  asuman  su  buena  parte  de  responsabilidad  de  cara  a  prevenir  futuros 
incidentes. 

Actualizar  los  sistemas,  tan  simple  como  efectivo 

Dejando  al  margen  comparaciones  sobre  el  numero  de  vulnerabilidades  criticas  que  periodicamente 
afectan  a  Microsoft,  los  usuarios  de  Windows  deben  ser  conscientes  de  que  se  trata  de  un  producto  que 
debe  ser  actualizado  regular  y  puntualmente,  como  todos  los  sistemas  operativos,  en  mayor  0  menor 
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medida.  Es  necesario  realizar  una  campana  de  concienciacion/educacion  sobre  la  necesidad  de  mantener 
actualizados  los  sistemas,  de  las  herramientas  y  servicios  automaticos  que  existen  para  facilitar  esta  tarea, 
y  de  los  riesgos  que  entrana  no  seguir  esta  practica. 

Ya  no  solo  para  evitar  infecciones  de  gusanos  como  Sasser,  o  de  efectos  peores.  Sino  que  los  usuarios 
deben  ser  conscientes  de  que,  cada  vez  que  no  instalan  un  parche  crltico,  estan  dejando  una  puerta  abierta 
para  que  un  intruso  pueda  controlar  totalmente  su  sistema,  sustraer  su  informacion  mas  sensible,  borrar 
sus  discos  duros,  o  espiar  todo  lo  que  hacen  con  su  ordenador.  Y  esto  ocurre  con  mucha  mas  frecuencia 
de  la  que  se  cree,  con  el  agravante  de  que  suele  pasar  desapercibido,  al  contrario  de  lo  que  ocurre  con  los 
gusanos. 

En  el  ambito  corporativo  todo  lo  anterior  es  aplicable.  En  Hispasec  observamos,  durante  las  auditorias  de 
seguridad  a  sistemas  corporativos,  como  suele  existir  una  atencion  especial  en  la  protection  perimetral 
y  de  los  servidores  con  servicios  en  Internet,  dejando  en  un  segundo  piano,  a  veces  olvidado,  al  resto  de 
servidores  internos,  y  especialmente  a  los  PCs  que  actuan  como  estaciones  de  trabajo. 

Es  un  grave  error,  de  hecho  toda  la  informacion  sensible  pasa  por  las  estaciones  de  trabajo,  que  en  la 
mayoria  de  las  ocasiones  podria  estar  bajo  el  control  de  un  atacante  gracias  a  las  vulnerabilidades  que 
poseen. 

Otro  talon  de  Aquiles  tipico  en  las  politicas  de  seguridad  son  el  control  de  los  dispositivos  moviles  de  uso 
personal,  como  portables,  o  usuarios  de  acceso  remoto.  En  la  mayoria  de  los  casos  se  tratan  de  sistemas 
que  se  encuentran  mas  expuestos  a  los  riesgos  de  seguridad,  ya  que  no  siempre  estan  bajo  el  paraguas  de 
las  protecciones  corporativas.  Sin  embargo  estos  sistemas  pueden  llegar  a  tener  una  estrecha  relation  con 
la  red  interna,  siendo  en  muchos  casos  el  origen  de  las  infecciones. 


Bernardo  Quintero 


01/06/2004  El  mayor  antivirus  publico  de  Internet 

VirusTotal  es  un  nuevo  servicio  de  detection  de  virus,  gusanos  y  malware  en  general,  que  permite  analizar 
archivos  con  multiples  motores  antivirus.  Cualquier  usuario  de  Internet  puede  enviar  archivos  0  mensajes 
sospechosos  y  obtendra  de  forma  gratuita  un  informe  con  el  resultado  del  analisis. 

Desarrollado  por  Hispasec  Sistemas,  con  la  colaboracion  de  Red.es  y  Jazztel  en  el  soporte  del  ancho  de 
banda  del  servicio,  VirusTotal  fue  presentado  ayer  durante  la  Semana  International  de  las  TIC,  que  se 
celebra  en  Santiago. 

VirusTotal  integra  los  motores  antivirus  de  Computer  Associates  (etrustAV),  Eset  Software  (NOD32), 
FRISK  Software  (F-Prot),  Kaspersky  Lab  (Kaspersky),  Network  Associates  (McAfee),  Norman  (Norman), 
Panda  Software  (Panda  Platinum),  Softwin  (Bitdefender),  Sybari  (Antigen),  Symantec  (Norton  Antivirus) 
y  TrendMicro  (PC-Cillin).  Adicionalmente  a  estos  antivirus,  Hispasec  esta  trabajando  en  la  incorporation 
de  nuevos  motores  que  aumentaran,  mas  si  cabe,  la  capacidad  de  detection  del  servicio. 

En  la  direction  http://www.virustotal.com  los  usuarios  podran  acceder  al  formulario  de  analisis,  a 
estadisticas  globales  en  tiempo  real  sobre  incidencias,  asi  como  a  descripciones  e  informacion  sobre  virus 
y  malware  en  general. 
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Ademas,  los  usuarios  pueden  reenviar  directamente  los  mensajes  o  adjuntar  los  archivos  sospechosos 
mediante  correo  electronico  a  la  direction  analiza@virustotal.com  con  el  asunto  ANALIZA.  En  breves 
instantes,  dependiendo  de  la  carga  puntual  del  servicio,  recibiran  en  su  buzon  el  informe  detallado  del 
analisis. 

El  tiempo  de  respuesta  dependera  del  numero  simultaneo  de  usuarios  que  utilicen  el  servicio,  que  podria 
ser  notablemente  superior  durante  los  primeros  dias  de  la  publicacion  de  VirusTotal,  si  bien  se  espera  se 
estabilice  a  finales  de  esta  semana. 

Hispasec  quiere  hacer  hincapie  en  que  VirusTotal  no  sustituye  de  forma  alguna  a  los  antivirus  instalados 
en  los  PCs,  ya  que  solo  permite  el  analisis  a  demanda  de  archivos  individuales,  y  no  ofrece  protection 
permanente  al  sistema  del  usuario.  Este  servicio  esta  destinado  principalmente  a  facilitar  el  analisis  de 
archivos  o  mensajes  sospechosos  que,  aun  siendo  daninos,  no  sean  detectados  por  el  antivirus  utilizado  por 
el  usuario,  bien  porque  se  trata  de  un  especimen  muy  reciente  aun  no  incorporado  a  sus  actualizaciones, 
bien  por  cualquier  otra  circunstancia. 

Tambien  es  importante  senalar  que,  pese  a  que  el  indice  de  detection  ofrecido  por  el  analisis  simultaneo  de 
multiples  motores  antivirus  es  muy  superior  al  de  un  solo  producto,  los  resultados  no  pueden  garantizar 
la  inocuidad  de  un  archivo.  No  existe  solution  en  el  mundo  que  pueda  ofrecer  un  100%  de  efectividad  en 
el  reconocimiento  de  virus  y  malware  en  general. 

Por  ultimo,  Hispasec  quiere  agradecer  la  colaboracion  y  el  apoyo  mostrado  por  las  casas  antivirus 
participantes  en  VirusTotal,  asi  como  animar  a  los  usuarios  a  que  prueben  el  servicio. 

Hispasec  Sistemas 


24/10/2004  Informe:  comparando  la  seguridad  de  Windows  y  Linux 

La  publicacion  inglesa  “The  Register”  publica  un  informe  donde  se  analiza  el  modelo  de  seguridad 
utilizado  por  Windows  y  Linux,  intentando  determinar  las  diferencias  entre  ambos.  Se  trata  de  un  intento 
de  sistematizar  los  puntos  fuertes  y  debiles  de  cada  entorno  y,  con  esta  information,  intentar  extraer  unas 
conclusiones. 

Una  discusion  recurrente  en  los  ultimos  meses  trata  sobre  que  es  mas  seguro,  si  el  software  propietario  0 
el  software  de  codigo  abierto.  Los  defensores  del  primero  defienden  que  la  disponibilidad  del  codigo  fuente 
abre  la  posibilidad  que  los  atacantes  descubran  nuevas  vulnerabilidades.  Por  su  parte,  los  defensores  del 
software  de  codigo  abierto  afirman  que  justamente  la  disponibilidad  del  codigo  es  la  mejor  receta  para 
evitar  los  problemas  de  seguridad. 

Se  trata  de  una  discusion  en  la  que  habitualmente  se  suelen  utilizar,  por  ambos  lados,  argumentos  que 
huyen  de  los  datos  empiricos  y  demostrables.  Generalmente  se  utilizan  argumentaciones  de  caracter 
sentimental  y  apreciaciones  subjetivas,  que  poco  ayudan  a  mantener  un  debate  sosegado  y  que  realmente 
permita  extraer  conclusiones. 

El  informe,  “Security  Report:  Windows  vs  Linux”  empieza  con  el  analisis  de  tres  mitos  frecuentemente 
utilizados  en  cualquier  discusion  donde  se  compara  la  seguridad  de  Windows  y  Linux. 
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El  primer  mito  es  que  Windows  es  objeto  de  mas  ataques  y  es  victima  de  la  action  de  mas  virus  y  gusanos 
debido  a  su  position  dominante  en  el  mercado.  Dado  que  Windows  es  la  plataforma  dominante,  los  autores 
de  ataques  y  virus  tienen  preferencia  por  esta  plataforma.  El  informe  rebate  este  mito  a  partir  de  dos  datos 
empiricos:  Linux  es  una  plataforma  muy  popular  a  nivel  de  servidor  Web  y  los  datos  recogidos  por  Netcraft 
demuestran  que  maquinas  ejecutando  software  de  codigo  abierto  no  son  reiniciadas  con  frecuencia. 

El  segundo  mito  se  refiere  a  que  la  disponibilidad  del  codigo  fuente  abre  la  posibilidad  a  descubrir  mas 
facilmente  las  vulnerabilidades.  Este  argumento  se  rebate  a  partir  de  la  enorme  cantidad  de  gusanos  y 
virus  que  sacan  provecho  de  vulnerabilidades  de  Windows,  lo  que  viene  a  demostrar  que  la  disponibilidad 
del  codigo  fuente  no  es  un  factor  clave  para  detectar  la  existencia  de  problemas  de  seguridad. 

El  tercer  mito  rebatido  son  las  estadisticas  que  demuestran  la  existencia  de  menos  problemas  de  seguridad 
criticos  en  la  plataforma  Windows  con  respecto  a  Linux.  En  el  informe  se  facilitan  datos  que  demuestran 
como  muchas  de  estas  estadisticas  son  confeccionadas  a  medida  y  se  basan  en  datos  parciales,  que 
dificilmente  se  pueden  extrapolar  a  las  conclusiones  que  a  veces  se  extraen  de  los  mismos. 

La  segunda  parte  del  estudio  compara  el  diseno  de  Linux  y  Windows,  analizando  las  implicaciones  que 
tienen  las  mismas  en  lo  relativo  a  la  seguridad.  Asi  se  compara  el  diseno  monolitico  de  Windows  contra 
el  diseno  modular  de  Linux  (no  se  refiere  al  nucleo  del  sistema  operativo,  sino  al  conjunto  del  sistema 
operativo),  el  origen  del  codigo,  las  limitaciones  del  modelo  de  llamadas  de  procedimiento  remoto  y  la 
diferencia  de  orientation  de  los  ambos  productos. 

En  la  tercera  parte  se  analizan  las  metricas  utilizadas  para  la  medicion  del  nivel  de  seguridad  y  la  dificultad 
que  supone  la  interpretation  de  los  datos  reflejados  por  las  mismas. 

Cuando  se  mide  el  nivel  de  seguridad  no  solo  deben  considerarse  factores  puramente  numericos,  como 
son  el  numero  de  vulnerabilidades  sino  que  otros  elementos  tienen  una  importancia  igual  o  superior:  la 
exposition  potential  a  la  vulnerabilidad,  la  facilidad  con  la  que  las  vulnerabilidades  pueden  ser  utilizadas 
en  ataques,  el  dano  provocado  como  consecuencia  de  un  ataque.  La  union  de  estos  factores  permite 
identificar  un  nivel  de  riesgo. 

Con  todas  estas  consideraciones,  el  informe  realiza  una  comparativa  de  los  ultimos  cuarenta  parches  y 
actualizaciones  de  Windows  Server  2003  y  Red  Hat  Enterprirse  Linux  AS  V3.0.  Se  realiza  una  tabulation 
en  la  que  se  aplican  las  metricas  definidas,  de  forma  que  para  cada  vulnerabilidad  se  puede  identificar  el 
nivel  de  riesgo  global. 

Tambien  se  facilitan  datos  obtenidos  a  partir  de  la  valoracion  global  de  impacto  que  aplica  el  CERT  a  cada 
una  de  las  vulnerabilidades  que  se  publican. 

Conclusiones 

Aplican  las  metricas  definidas  por  “The  Register”,  el  impacto  de  las  vulnerabilidades  y  actualizaciones  es 
mucho  mas  importante  en  Windows  Server  2003.  Aproximadamente  la  mitad  de  las  actualizaciones  de 
Microsoft  son  consideradas  como  criticas  (y  muchas  de  las  que  no  tienen  esta  consideration  es  debido  a 
la  configuration  particular  de  Internet  Explorer  y  Outlook  Express,  que  son  dificilmente  utilizables  en  su 
configuration  por  defecto). 

En  cambio,  aplicando  la  valoracion  que  anade  el  CERT  en  sus  estadisticas  se  puede  considerar  la  existencia 
de  un  “empate  tacito”  en  el  nivel  de  seguridad  de  Windows  Server  2003  y  Red  Hat  Linux  Enterprise  Linux 
AS  V3.0,  con  una  valoracion  ligeramente  favorable  a  Windows. 

Xavier  Caballe 
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Entrevista 


Bruce  Schneier  es  el  criptografo  y  guru  de  la  seguridad  por  excelencia.  Desde 
la  publication  de  su  libro  “Applied  Cryptography”,  un  referente  en  cuestion  de 
seguridad  de  todos  los  tiempos,  ha  ganado  una  merecida  reputation  que  le  define 
como  una  de  las  personas  mas  lucidas  en  el  campo  de  la  criptografia  y  de  la  seguridad.  Bruce  Schneier 

Especialmente  en  el  impacto  que  estas  disciplinas  ejercen  sobre  la  sociedad  real.  Un 
gran  comunicador  que  ha  accedido  a  responder  a  algunas  de  nuestras  preguntas. 

Hispasec:  f.Con  que  edad  empezaste  a  tener  contacto  con  la  informatica?  tRecuerdas  los 
primeros  equipos  informaticos  que  pudiste  trastear? 

Bruce  Schneier:  Mi  primer  ordenador  fue  un  mainframe  en  mi  universidad.  Mi  instituto  tenia  un 
terminal,  y  los  programas  se  guardaban  en  tarjetas  perforadas.  El  primer  ordenador  que  tuve  era  el  primer 
Apple  de  Macintosh. 

H:  f.Cuando  descubres  por  primera  vez  la  criptografia?  c'.Por  que  decides  dedicarte  a  ello 
profesionalmente? 

BS:  Siempre  me  ha  interesado  la  criptografia,  incluso  de  pequeno.  Trabaje  para  el  Departamento  de  Defensa 
de  Estados  Unidos  cuando  me  gradue  en  la  universidad,  y  decidi  escribir  [el  libro]  Applied  Cryptography 
despues  de  ser  despedido  de  AT&T  Bell  Labs  en  1991. 

H:  La  criptografia  ha  sufrido  grandes  avances  desde  1998,  pero  tambien  han  avanzado  los 
tipos  de  ataque.  tCrees  que  la  criptografia  es  ahora  mejor  que  hace  diez  anos? 

BS:  Sabemos  mucho  mas  de  criptografia  que  hace  10  anos.  Muchas  de  las  mejoras  estan  ya  bordeando 
los  limites  y  podrian  no  ser  perceptibles  para  alguien  ajeno  a  este  campo,  mas  que  nada  porque  hemos 
tenido  toda  la  criptografia  que  necesitamos  y  los  problemas  serios  estan  en  la  seguridad  de  las  redes  y  los 
ordenadores.  Pero  las  mejoras  son  reales:  el  campo  de  la  criptografia  continua  avanzando. 

H:  f.Puede  un  algoritmo  criptografico  por  si  solo  garantizar  la  seguridad  de  una  operacion 
o  siempre  dependeremos  en  ultima  instancia  de  otros  factores  como  el  humano? 

BS:  La  criptografia  es  matematicas,  y  la  criptografia  puede  garantizar  la  seguridad  de  las  matematicas. 
Por  desgracia  eso  no  es  muy  interesante:  la  seguridad  solo  es  importante  cuando  interactua  con  la  gente. 
Y  una  vez  que  la  seguridad  implica  a  las  personas,  las  personas  van  a  ser  el  mayor  riesgo  de  seguridad.  Asi 
que  no:  mientras  la  criptografia  pueda  asegurar  un  correo  de  un  ordenador  a  otro,  nunca  podra  asegurar 
el  enlace  que  existe  entre  el  teclado/pantalla  y  la  silla. 

H:  Aunque  el  algoritmo  MD5  se  considera  “muerto”  en  terminos  criptograficos,  vemos 
que  aun  sigue  vigente  en  muchos  sistemas  y  soluciones  de  seguridad.  fcPor  que  parece  que 
cuesta  tanto  migrar  a  algoritmos  mas  seguros?  (.Falta  de  conciencia? 

BS:  MD5  hace  tiempo  que  fue  oficialmente  reemplazado  por  SHA.  SHA  ha  sido  oficialmente  reemplazado 
por  SHA-i.  Y  SHA-i  ha  sido  oficialmente  reemplazado  por  la  familia  de  algoritmos  SHA-2.  Estos  seran 
reemplazados  sobre  2012  por  SHA-3,  un  algoritmo  todavia  por  determinar.  La  National  Institute  of 
Standards  and  Technology  mantiene  un  concurso  para  elegirlo.  Estoy  orgulloso  de  mi  propia  propuesta 
para  este  proceso,  llamada  Skein  (madeja). 
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Asi  que  todo  el  que  todavia  este  usando  MD5,  o  bien  no  esta  prestando  atencion  0  no  le  preocupa 
actualizarse.  Y  ese  es  el  problema  con  sistemas  heredados:  estan  estancados  con  seguridad  que  estaba 
bien  cuando  se  crearon  pero  que  ya  no  son  adecuadas. 

H:  Ante  el  problema  del  phishing,  muchas  entidades  bancarias  estan  implantando  sistemas 
de  autenticacion  de  doble  factor,  con  el  uso  de  SMS  a  telefonos  moviles,  certificados 
digitales,  smartcards,  tokens,  incluso  en  Espana  se  esta  utilizando  un  documento  de 
identidad  electronico  (e-DNI)  expedido  por  el  gobierno.  Sin  embargo,  nosotros  estamos 
viendo  como  muchos  troyanos  bancarios  actuan  modificando  la  cuenta  de  destino  y  la 
cantidad  en  las  transferencias  de  forma  transparente  al  usuario  una  vez  este  ya  se  ha 
autenticado  en  el  sistema,  haciendo  inutiles  este  tipo  de  medidas.  (.Que  deberian  hacer  las 
entidades  bancarias  para  proteger  a  sus  clientes? 

BS:  Escribi  sobre  esto  cuando  la  autenticacion  de  dos  factores  comenzaba  a  hacerse  popular...  que  no 
haria  nada  para  detener  el  fraude  bancario  online.  El  fallo  esta  en  que  la  autenticacion  de  dos  factores 
tiene  como  objetivo  la  tactica,  no  el  problema  en  si.  Asi,  como  habeis  notado,  los  atacantes  solo  han  tenido 
que  cambiar  sus  tacticas.  La  solution  es  intentar  dejar  de  autenticar  a  la  persona  y  empezar  a  autenticar 
la  transaction.  Esa  es  la  forma  en  la  que  las  companias  de  tarjetas  de  credito  previenen  el  fraude,  y  es  lo 
que  funciona. 

H:  En  el  mercado  de  la  seguridad,  tcuanto  hay  de  marketing,  cuanto  de  snake-oil  y  cuanto 
de  seguridad  real?  f.Que  recomendaciones  darias  a  los  usuarios  finales  y  a  los  responsables 
de  seguridad  corporativa  para  que  no  se  dejen  llevar  por  el  marketing  y  elijan  soluciones 
efectivas? 

BS:  Es  una  causa  perdida.  La  seguridad  se  ha  vuelto  tan  complicada  que  el  comprador  medio  ya  no  puede 
entender  lo  que  el  vendedor  medio  le  esta  vendiendo.  Asi  que  los  vendedores  recurren  al  marketing  a 
costa  de  la  “sustancia”.  Mi  consejo  es  hacer  “ousourcing”  tanto  como  sea  posible  y  especificar  las  metricas 
de  seguridad  en  el  contrato.  Deja  que  otro  se  preocupe  por  los  detalles  tecnicos  y  concentrate  en  los 
resultados. 

H:  Mirando  hacia  atras,  la  historia  nos  dice  que  el  criptoanalisis  triunfo  en  muchas 
ocasiones  sobre  la  criptografia  del  momento,  que  a  nivel  militar  y  gubernamental  se 
dedicaban  muchos  recursos  a  esta  tarea,  y  que  algoritmos  que  por  entonces  se  creian 
robustos  en  realidad  estaban  siendo  comprometidos.  tSeria  logico  pensar  que  puede  estar 
ocurriendo  lo  mismo  con  los  algoritmos  actuales? 

BS:  Por  supuesto  los  sistemas  criptograficos  estan  siendo  comprometidos  todo  el  tiempo,  no  es  muy 
complicado.  Pero  lo  improbable  es  que  la  criptografia  sea  el  punto  mas  debil.  Hay  tantas  partes  mas 
inseguras  en  un  sistema  criptografico...  el  software,  el  sistema  operativo,  la  red,  la  gente...  Siendo  tan  mala 
como  puede  ser  la  criptografia,  y  a  menudo  lo  es,  siempre  hay  algo  peor. 

H:  A  nivel  gubernamental  se  utiliza  la  excusa  de  la  seguridad  para  argumentar  que  es 
necesario  un  control  y  monitorizacion  sobre  las  comunicaciones,  por  lo  que  existe  un 
continuo  debate  con  las  organizaciones  que  abogan  por  la  privacidad  y  el  anonimato  en 
Internet.  tRealmente  la  seguridad  exige  la  perdida  de  la  privacidad  y  el  anonimato? 

BS:  Por  supuesto  que  no.  La  proxima  vez  que  alguien  te  diga  que  necesitas  abandonar  la  privacidad 
para  obtener  seguridad,  mirale  a  los  ojos  y  dile:  “cerrojo,  alarma  anticacos,  valla  alta”.  La  mayor  parte 
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de  la  seguridad  no  tiene  nada  que  ver  con  la  privacidad.  Solo  la  seguridad  basada  en  identidad  afecta  a  la 
privacidad,  y  hay  limitaciones  a  esa  aproximacion. 

H:  fcAlguna  prediction  en  materia  de  seguridad  informatica?  £Que  nos  espera? 

BS:  Crimen.  Crimen  es  lo  antiguo  y  crimen  es  lo  nuevo.  Solo  cambian  las  tacticas,  pero  la  motivation  es 
atemporal. 

H:  c'.Que  sistema  operativo  y  navegador  utilizas? 

BS:  Uso  Windows,  todavia  XP,  y  Opera.  Supongo  que  deberia  cambiar  a  Firefox,  pero  es  que  me  gusta 
como  funciona  Opera. 

H:  A1  margen  de  tu  actividad  profesional  como  Chief  Security  Technology  Officer  de  BT,  r'.a 
que  dedicas  mas  tiempo  ultimamente?  tHobbies? 

BS:  Sigo  escribiendo  resenas  de  restaurantes  para  una  revista  local  y  varios  sitios  online. 

H:  Un  libro,  una  cancion. 

BS:  El  ultimo  CD  de  mi  coleccion  se  llama  “Better  than  the  Real  Thing,”  una  compilation  de  cantantes  de 
musica  folk  irlandesa  interpretando  versiones  acusticas  de  canciones  de  U2.  El  ultimo  libro  que  he  leido 
es  “Nudge,”  de  Cass  Sustein  y  Richard  Thaler.  Mi  nuevo  libro  es  “Schneier  on  Security.”  Acaba  de  salir,  y 
parece  un  estupendo  regalo  para  estas  Navidades. 
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Durante  este  ano... 


_  El  5  de  enero,  desde  el  observatorio  de  Monte  Palomar  descubren  el  nuevo  planeta 
enano  al  que  llaman  Eris,  el  mas  lejano  del  sistema  solar. 

_  El  11  de  febrero,  investigadores  argentinos  hallan  en  la  Patagonia  el  unico  yacimiento  existente  hasta 
ahora  de  huevos  de  dinosaurio  con  embriones  en  su  interior. 


2005 


El  16  de  febrero  entra  en  vigor  el  Protocolo  de  Kioto.  Se  trata  del  convenio  mundial  para 
el  intento  de  reduccion  de  gases  y  luchar  contra  el  efecto  invernadero.  En  1997  los  pafses 
industrializados  se  comprometieron  en  la  ciudad  de  Kioto  a  ejecutar  un  conjunto  de 
medidas  para  reducir  los  gases  de  efecto  invernadero.  Pactaron  reducir  en  un  5%  de 
media  las  emisiones  contaminantes  entre  2008  y  2012,  tomando  como  referenda  los  niveles 
de  1990.  El  objetivo  principal  es  disminuir  el  cambio  climatico  de  origen  antropogenico 
cuya  base  es  el  efecto  invernadero.  Cada  pals  debla  reducir  en  distintos  porcentajes  sus 
emisiones.  Mientras,  el  1  de  marzo  de  2005,  Madrid  registra  la  temperatura  mas  baja  en  un 
dla  de  marzo  de  los  ultimos  105  anos:  -5°C  en  el  Retiro,  sufriendo  uno  de  los  inviernos  mas 
duros  de  su  historia.  Para  muchos,  el  protocolo  (que  prometfa  un  paso  adelante)  nacio  ya 
muerto  en  cuanto  el  gobierno  de  Estados  Unidos  (ni  con  Clinton  ni  con  Bush  al  frente)  no 
ratified  el  acuerdo.  En  2001  el  gobierno  de  Bush  se  habla  retirado  ya  definitivamente  del 
protocolo. 


_  La  noche  del  12  de  febrero  se  incendia  la  torre  Windsor  de  Madrid.  No  se  producen  victimas.  Sus 
106  metros  de  altura  y  32  plantas  estaban  compuestos  basicamente  por  oficinas.  No  se  derrumbo  hasta 
que  es  desmontada  en  agosto  de  ese  mismo  ano  y  a  finales  del  mismo  mes,  se  abririan  a  la  circulation  las 
calles  adyacentes.  Varias  companias  con  sede  en  el  rascacielos  lo  pierden  absolutamente  todo.  Se  habla 
mucho  de  la  seguridad  fisica,  de  copias  de  seguridad  y  armarios  ignifugos. 


_  Durante  principios  del  ano  2005  el  Gobierno  espanol  comienza  a  elaborar  un 
nuevo  Plan  Tecnico  Nacional  de  la  Television  Digital  Terrestre  con  la  intencion 
de  impulsar  esta  tecnologia  en  un  mercado  televisivo  donde  las  emisoras  de  television 
digital  por  satelite  (un  panorama  compuesto  unicamente  por  Digital+,  tras  la  fusion  con 
su  unica  competidora,  Via  Digital)  y  las  redes  de  cable  copan  el  mercado  de  la  television 
digital.  El  parque  de  receptores  de  TDT  instalados  se  estima  en  ese  ano  en  unas  decenas 
de  miles,  la  mayoria  de  ellos  los  que  distribuyo  Quiero  TV  durante  sus  apenas  dos  anos  de  existencia.  De 
entre  las  medidas  que  contiene  el  nuevo  plan  destacan  el  adelanto  del  apagon  analogico  desde  el  ano  2012 
al  3  de  abril  de  2010.  A  partir  de  ese  momento,  todas  las  emisiones  de  television  terrestres  tendran  que 
realizase  mediante  tecnicas  digitales.  Tambien  destaca  la  intencion  de  aumentar  el  numero  de  emisoras 
de  TDT  hasta  el  apagon  analogico.  Lenta  pero  segura,  la  TDT  se  popularizaria  en  2007  gracias  a  los  bajos 
precios  de  los  decodificadores  y  a  la  integration  en  las  nuevas  televisiones. 

_  En  Espana,  en  el  referendum  nacional  para  la  ratification  de  la  Constitucion  Europea  se  aprueba 
la  nueva  Constitucion  con  un  76,7%  de  los  votos.  La  participation  es  de  solo  el  42%.  El  1  de  junio  en  el 
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referendum  sobre  la  Constitution  Europea  celebrado  en  Paises  Bajos  ganaria  el  “no”  con  un  60%. 

_  El  2  de  abril  muere  Juan  Pablo  II  tras  varias  horas  de  agonia.  Seis  dias  despues  se  realizan  en  Ciudad 
del  Vaticano  las  exequias  de  Su  Santidad  Juan  Pablo  II,  considerado  el  funeral  mas  grande  de  toda  la 
historia.  El  dia  19  de  de  ese  mes,  Joseph  Ratzinger  es  elegido  Papa  de  la  Iglesia  Catolica  con  el  nombre  de 
Benedicto  XVI. 

_  El  13  de  junio  Michael  Jackson  es  absuelto  de  todos  los  cargos  que  se  le  imputaban. 

_  Se  publica  Debian  GNU/Linux  3.1  “Sarge”.  Fruto  de  casi  tres  anos  de  desarrollo 
continuo. 

_  El  30  de  junio  se  aprueba  en  Espana  el  matrimonio  entre  personas  del  mismo  sexo. 

_  A  principios  de  julio  se  celebran  nueve  conciertos  simultaneos  en  distintas  ciudades  del  planeta  (Live 
8)  para  exigir  el  fin  de  la  pobreza  en  el  mundo. 

_  El  siete  de  julio  se  produce  un  multiple  atentado  terrorista  en  Londres.  Tres  vagones  de  metro 
y  un  autobus  urbano  se  ven  afectados,  causando  56  victimas  mortales  y  700  heridos.  Los  atentados  se 
relacionan  con  el  apoyo  del  gobierno  britanico  a  la  guerra  de  Iraq,  en  concreto  con  la  foto  de  las  Azores 
de  2003  en  las  que  aparecian  los  lideres  de  los  tres  principales  paises  que  apoyaron  la  invasion.  Un  dia 
antes  la  ciudad  de  Londres  habia  sido  designada  por  los  miembros  del  COI  como  escenario  de  los  Juegos 
Olimpicos  del  2012. 

_  A  finales  de  agosto  el  huracan  Katrina  toca  tierra  estadounidense  y  produce  uno  de  los  mayores 
desastres  que  se  recuerdan,  con  ciudades  como  Nueva  Orleans  completamente  anegadas,  junto  con 
importantes  perdidas  materiales  y  humanas  en  Luisiana,  Mississippi,  Alabama,  Tennessee  y  el  oeste  de 
Florida.  Se  anuncian  inicialmente  mas  de  1.000  muertos.  Las  ayudas  llegan  tarde  y  mal.  El  presidente 
Bush  es  duramente  criticado  por  su  incapacidad  de  gestionar  estos  desastres  en  el,  se  supone,  pais  mas 
rico  y  preparado.  Se  popularizan  en  Internet  las  estafas  relacionadas  con  la  recoleccion  de  donativos  para 
ayudar  a  los  damnificados  por  el  desastre. 


(P 

debian 


_  A  principios  de  diciembre  se  pone  a  la  venta  en  Espana  la  consola  Xbox 
360  de  Microsoft.  Es  la  primera  consola  que  se  lanza  simultaneamente  en 
Europa,  Estados  Unidos  y  Asia.  Tiene  una  triple  CPU  a  3.2  Ghz  y  512  MB 
de  RAM. 

_  Ricardo  Galli  compra  a  finales  de  2005  el  dominio  “Meneame”, 
copiando  la  filosofia  a  Digg  en  Espana,  pero  con  software  libre.  Se  crearia 
a  su  alrededor  una  inmensa  comunidad  de  fieles  usuarios  y 
clones.  En  noviembre  de  2006  Martin  Varsavsky,  creador  de 
Jazztel,  Ya.com  y  FON,  compraria  el  10%  (y  mas  tarde  el  33%) 
del  portal. 


men4ame 


_  El  31  de  diciembre  se  anade  de  nuevo  un  segundo  al  ano  para  compensar  las  diferencias  entre  la 
rotation  de  la  Tierra  y  el  tiempo  atomico.  Se  hace  a  las  23:59:60. 
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_  A  comienzos  de  2005  ya  se  rozaban  las  20.000  muestras  mensuales  enviadas  a 
Virustotal.com,  en  una  escalada  “sin  control”  que  todavia  hoy  sigue  experimentando. 


_  El  kernel  de  linux  comienza  con  mal  pie  el  ano.  Se  descubren  varias  vulnerabilidades  que  ponen 
sobre  la  mesa  el  descontento  en  los  procedimientos  actuales  de  parcheo  y  distribution  de  las  versiones 
actualizadas  del  kernel.  Se  quejan  de  que,  en  algunos  casos,  esas  correcciones  no  han  estado  disponibles 
en  actualizaciones  “oficiales”  de  los  kernel  hasta  meses  despues.  Esto  es  asi  porque  la  tendencia  hasta  ese 
momento  fue  el  integrar  esos  parches  en  la  version  en  desarrollo  de  los  kernel,  cuya  fecha  de  publication 
puede  estar  a  semanas  0  meses  vista. 


_  Mytob  irrumpe.  Se  asiste  a  un  goteo  constante  de  nuevas  variantes  del  gusano  durante  meses.  La 
estrategia  de  su  creador  0  creadores,  sentando  precedentes  de  la  tendencia  virica  actual,  parece  ser 
distribuir  muchas  variantes  con  pequenas  modificaciones  para  intentar  evitar  a  los  antivirus  durante  las 
primeras  horas,  mientras  que  se  desarrolla  la  pertinente  firma,  y  afectar  al  maximo  numero  de  usuarios. 


_  A  finales  de  febrero,  se  da  a  conocer  que  los  contenidos  del  telefono  movil  de  Paris  Hilton  han  sido 
publicados  en  Internet.  En  un  principio  se  baraja  la  posibilidad  de  que  hubieran  accedido  a  la  tarjeta 
SIM,  o  de  que  se  tratara  de  una  intrusion  a  los  servidores  de  T-Mobile  aprovechando  inyecciones  SQL.  Al 
final  se  hace  publico  que  el  metodo  empleado  es  mucho  mas  sencillo,  bastaba  con  contestar  a  la  pregunta 
“c'.cual  es  el  nombre  de  su  mascota  favorita?”  El  telefono  de  Paris,  un  Sidekick  II  de  T-Mobile, 
permite  mantener  una  copia  de  los  contenidos  en  un  servidor  de  Internet,  accesible  a  traves  de  la  web. 
Como  ocurre  en  muchos  servicios  en  linea,  T-Mobile  utiliza  el  metodo  de  preguntas  secretas  para  permitir 
el  acceso  a  aquellos  usuarios  que  han  olvidado  sus  contrasenas.  El  nombre  de  su  perro  chihuahua  era 
bien  conocido  a  raiz  de  que  la  famosa  heredera  ofreciera  en  el  pasado  una  recompensa  de  varios  miles  de 
dolares  tras  extraviarlo.  El  resultado  es  que  a  dia  de  hoy  cualquiera  puede  descargar  todo  el  contenido  del 
movil  de  Paris  Hilton.  En  el,  se  encontraban  los  telefonos  personales  de  Christina  Aguilera,  Avril  Lavigne, 
Eminem,  o  Anna  Kournikova...  ademas  de  fotos  personales  (subidas  de  tono)  realizadas  con  el  movil. 


_  En  marzo  es  liberado,  para  uso  personal  y  educativo,  el  libro  “The  Code  Book”.  Escrito  por  Simon 
Singh,  se  trata  de  uno  de  los  mejores  libros  de  introduction  a  la  criptografia. 


En  la  manana  del8de  marzo  se  da  a  conocer  el  fallo  deljuicio  que  enfrentaba  a  la  empresa 
Tegam  contra  el  cientifico  trances  Guillaume  T.  Finalmente  Guillaume  es  condenado  con 
una  pena  leve,  inferior  a  la  solicitada  inicialmente  por  Tegam.  El  juez  fija  una  condena 
condicional  de  5.000  euros,  que  Guillaume  no  tendra  que  pagar  si  no  es  condenado  por 
otra  causa  durante  los  proximos  dos  anos.  En  julio  se  sabe  que  Guillaume  T.  ha  recurrido  las 
dos  sentencias  condenatorias,  la  penal  y  la  civil.  Ademas  se  produce  una  novedad:  una 
de  las  pruebas  presentadas  por  Tegam  contra  Guillaume  era  que,  junto  a  “otros",  actuaba 
por  intereses  oscuros,  acusandole  en  una  carta  dirigida  el  7  marzo  2002  a  la  direccion  del 
CNRS  como  un  “terrorista  informatico  conocido  por  el  FBI  y  la  DST".  En  esa  carta  tambien 
se  acusaba  directamente  a  otra  persona,  R.G.,  que  tambien  escribe  con  asiduidad  en  los 
foros  de  Usenet.  En  un  nuevo  juicio  de  caracter  civil,  un  Tribunal  de  Toulouse  condena  a 
Tegam  por  una  falta  por  injurias  cometida  contra  R.G.  La  historia  no  terminaria  aqui. 
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_A  principios  de  2005  se  asiste  de  nuevo  a  una 
continua  avalancha  de  variantes  del  gusano  Bagle, 
que  se  propagaba  a  traves  de  archivos  adjuntos 
en  mensajes  de  correo  electronico,  enviados  de 
forma  masiva  desde  los  sistemas  infectados.  Se 
publica  “Lessons  from  Virus  Developers: 
The  Beagle  Worm  History”,  estudio  en  el  que 
se  realiza  un  completo  analisis  de  la  evolucion 
historica  del  gusano,  desde  las  primeras  variantes 
detectadas  a  finales  de  enero  de  2004  hasta  las 
ultimas,  identificadas  en  enero  de  2005.  Presenta 
un  analisis  de  las  caracteristicas  mas  destacadas 
de  las  diversas  variantes  y  la  evolucion  en  los 
mecanismos  utilizados  para  su  propagation  y 
como  poco  a  poco  el  gusano  se  iba  haciendo  mas 
y  mas  complejo,  hasta  el  extremo  de  llegar  a  incorporar  su  propio  servidor  de  nombres  de  dominio,  la 
capacidad  para  desactivar  o  inhabilitar  las  medidas  de  seguridad  instaladas  en  los  sistemas  infectados,  la 
distribution  en  archivos  cifrados  con  contrasena  para  saltarse  los  antivirus  en  el  servidor  de  correo,  etc... 
La  intention  es  mostrar  a  Bagle  como  un  ejemplo  paradigmatico  de  malware  y  una  tendencia. 

_  Durante  una  conferencia  en  Estados  Unidos,  tres  investigadores  del  FBI  demuestran  como  son  capaces 
de  romper  el  cifrado  WEP  con  clave  de  128-bit  de  una  red  inalambrica  en  tan  solo  tres 
minutos.  El  mecanismo  traditional  de  cifrado  de  las  redes  inalambricas  es  WEP  (Wired  Equivalency 
Privacy),  basado  en  el  algoritmo  RC4  utilizando  claves  de  distinta  longitud  (entre  64  y  256  bits).  Desde 
hace  tiempo  se  conoce  que  WEP  es,  basicamente,  un  mecanismo  inseguro  al  basarse  en  el  uso  de  un  secreto 
compartido  entre  el  punto  de  accesoylas  estaciones  que  acceden  ala  red.  WEP  no  ofrece  ningun  mecanismo 
para  la  negotiation  de  las  claves  utilizadas  para  el  cifrado  del  trafico.  Es  el  momento  de  usar  el  estandar 
WPA  (Wi-  Fi  Protected  Access)  que  mejora  las  prestaciones  de  WEP  mediante  el  intercambio  de  claves, 
aunque  tambien  permite  una  modalidad  de  secreto  compartido.  En  2004  se  presento  la  especificacion 
802. ni  (tambien  conocida  como  WPA2)  que  ofrece  unos  mecanismos  fuertes  de  autenticacion  y  cifrado 
del  trafico. 

_  En  mayo  Sober.q  causa  una  avalancha  de  spam  con  propaganda  neonazi,  enviadas  desde  maquinas 
zombi. 

_  Tambien  en  mayo,  Hispasec  lanza  un  servicio  de  alerta  temprana  en  tiempo  real  a  traves  de  telefonos 
moviles  que,  mediante  mensajes  de  texto  corto  (SMS),  avisara  a  los  usuarios  en  caso  de  aparicion  de 
malware  de  especial  incidencia  0  peligrosidad. 

_  Un  miembro  del  equipo  de  seguridad  de  FreeBSD  detecta  un  problema  de  seguridad  en  Hyper- 
Threading  implementado  en  los  procesadores  Intel  Pentium  Extreme  Edition,  Pentium  4,  Mobile  Pentium 
4  e  Intel  Xeon.  Un  atacante  podria  obtener  information  sensible  de  la  maquina  atacada,  incluyendo 
la  posibilidad  de  robar  una  clave  RSA  privada  que  se  este  usando  en  la  maquina  de  la  victima.  Hyper- 
Threading  es  un  nuevo  diseno  de  Intel  que  permite  al  software  disenado  para  multiples  hilos  de  ejecucion 
(multi-threaded)  procesar  los  hilos  en  paralelo  dentro  de  cada  procesador,  lo  que  da  como  resultado  un 
incremento  en  la  utilization  de  los  recursos  de  ejecucion  de  los  procesadores. 

_  Las  maquinas  zombi  y  botnets  crecen  desmesuradamente.  Nadie  sabe  a  ciencia  cierta  el 
porcentaje  exacto  de  maquinas  de  este  tipo  que  estan  operando  en  la  actualidad.  Las  maquinas  zombi  son 
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maquinas  comprometidas  al  servicio  de  atacantes  que  las  manejan  desde  un  panel  de  control  centralizado. 
Son  usadas  para  robar  sus  datos  y  como  plataforma  para  enviar  correo  basura.  Las  maquinas  zombis  se 
aglutinan  en  los  denominados  botnets,  anglicismo  que  se  refiere  a  la  asociacion  en  red  (nets)  de  maquinas 
autonomas  (bots,  apocope  del  termino  sajon  robots).  Todavia  durante  2006  y  2007  crecerian  incluso 
mas. 

_  Se  detiene  a  18  personas  en  Israel,  entre  las  cuales  destacan  altos  ej  ecutivos  de  tres  gr andes  corpor aciones, 
por  espionaje  industrial  a  traves  de  troyanos.  Durante  la  investigation  se  encuentran  en  posesion  de 
los  acusados  documentos  e  imagenes  de  la  competencia  y  terceras  empresas  de  un  enorme  valor  comercial. 
Estiman  que  el  espionaje  se  llevo  a  cabo  durante  mas  de  un  ano. 


Aparece  PGPcoder,  el  troyano  chantajista.  Cifra  los  archivos  de  los  sistemas  y  solicita  dinero 
a  los  usuarios  afectados  si  quieren  volver  a  restaurarlos.  La  realidad  es  que,  debido  a  un 
mal  diseno  de  su  creador,  el  troyano  utiliza  un  algoritmo  de  cifrado  muy  simple,  basado 
en  valores  fijos,  que  permite  invertirlo  y  recuperar  automaticamente  los  archivos.  Cuando 
se  ejecuta  en  un  sistema,  cifra  todos  los  archivos  que  localiza  con  las  extensiones  .xls,  .doc, 
.txt,  .rtf,  .zip,  .rar,  .dbf,  .htm,  .html,  .jpg,  .db,  .dbl,  .db2,  .asc  y  .pgp.  Creando  ademas  unos 
archivos  de  texto,  “ATTENTIONIII.txt”,  con  el  siguiente  mensaje: 

Some  files  are  coded. 

To  buy  decoder  mail:  n781567@yahoo.com 
with  subject:  PGPcoder  000000000032 

En  definitiva,  que  si  el  usuario  infectado  quiere  volver  a  acceder  a  sus  documentos,  hojas 
de  calculo,  fotografias,  etc.,  debe  “comprar"  el  descodificador  que  supuestamente  el 
autor  le  enviaria  por  correo. 

A  pesar  del  nombre  usado  (PGPcoder)  para  denominar  al  malware,  el  autor  del  troyano 
programo  un  algoritmo  de  cifrado  bastante  simple  sin  clave  externa,  lo  que  permite  invertir 
el  algoritmo  para  recuperar  los  archivos  sin  tener  que  pasar  por  el  chantaje.  Hispasec 
obsequia  con  una  camiseta  a  los  tres  primeros  lectores  que  envian  un  script  o  programa 
(incluyendo  fuentes)  que  deberia  descifrar  otro  archivo  cifrado  por  el  troyano  PGPcoder. 


_  Debasis  Mohanty,  un  investigador  hindu,  rompe  el  sistema  de  protection  Windows  Genuine 
Advantage  (WGA)  de  Microsoft.  Desarrolla  una  herramienta  denominada  genuinecheck.exe  con  la  que 
se  permite  descargar  software  hasta  ahora  reservado  a  las  copias  que  el  servidor  de  Microsoft  considerase 
legales. 

_  En  una  noticia  aparecida  en  el  New  York  Times,  se  afirma  que  Microsoft  esta  en  conversaciones 
con  Claria,  mas  conocida  anteriormente  como  Gator,  una  de  las  principals  productoras  de 
adware.  Choca  directamente  con  los  nuevos  intereses  de  Microsoft  centrados  en  productos  antivirus  y 
antispyware.  A  raiz  de  esta  noticia  se  disparan  los  rumores.  iDetectara  el  motor  antispyware  de  Microsoft 
un  producto  que  es  suyo?  Las  ultimas  actualizaciones  de  Microsoft  AntiSpyware  detectan  el  adware  de 
Claria  instalado  en  el  sistema  pero,  por  defecto,  recomienda  la  action  de  ignorarlo,  es  decir,  no  eliminarlo 
del  sistema,  mientras  que  otras  soluciones  gratuitas  como  SpyBot,  ademas  de  detectar  el  adware  de  Claria 
lo  elimina  por  defecto. 
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_  Halvar  Flake,  especialista  en  ingenieria  inversa  y  responsable  de  la  consultora  Sabre  Security,  decide 
investigar  sobre  el  parche  critico  MS05-025  publicado  para  Microsoft  Internet  Explorer,  centrandose  en 
la  vulnerabilidad  en  la  gestion  de  documentos  graficos  portables  PNG  que  permite  la  ejecucion  de  codigo. 
Utilizando  herramientas  propias  y  comparando  las  versiones  parcheadas  y  sin  parchear,  Flake  localiza 
los  cambios  especificos  que  introduce  el  parche  MS05-025  en  menos  de  20  minutos.  Flake  documenta 
como  los  parches  rapidos  y  teoricamente  inocuos  pueden  ser  fuente  de  obtencion  de  codigo  vulnerable. 
Esta  teoria  seria  de  nuevo  retomada  anos  despues.  Se  llegaria  a  barajar  la  posibilidad  de  crear  una  forma 
automatizada  de  programar  exploits  a  partir  de  parches  recien  publicados. 


Se  publico  en  agosto  el  numero  63  de  la  la  revista  online  Phrack, 
con  el  que  esta  publicacion  online  y  gratuita  se  despide.  Es  el 
fin  de  la  primera  publicacion  que  se  distribuyo  exclusivamente 
de  forma  electronica.  Con  casi  veinte  anos  de  historia,  la  revista 
Phrack  es  todo  un  referente  y  una  de  las  publicaciones  mas 
prestigiosas  en  el  mundo  de  la  seguridad  informatica.  En  su  larga 
trayectoria,  en  Phrackse  han  publicado  las  primeras  referencias  a 
numerosas  tecnicas  como,  porejemplo,  el  articulo  de  Aleph  One 
“Smashing  the  stack  for  Fun  and  Profit”  donde  se  desarrollaban  las  tecnicas  de  ejecucion 
de  codigo  en  la  pila  inyectado  a  traves  de  desbordamiento  de  memoria  intermedia.  Otro 
articulo  historico  describia  el  funcionamiento  del  numero  de  emergencias  (911)  de  los 
Estados  Unidos.  La  publicacion  de  este  articulo  origino  una  serie  de  demandas  judiciales  y 
el  encarcelamiento  de  los  editores,  acusados  de  publicar  material  confidencial  robado  de 
la  compania  telefonica  Bell  South  y  que  ponia  en  peligro  la  seguridad  de  los  ciudadanos 
norteamericanos.  Durante  el  juicio,  por  el  que  se  pedian  una  indemnizacion  de  80.000 
dolares  se  demostro  que  esa  informacion  estaba  al  alcance  de  cualquier  persona  porsolo 
13  dolares. 

Inicialmente  la  revista  Phrackse  centraba  en  la  seguridad  de  las  redes  de  comunicaciones, 
documentando  un  gran  numero  de  vulnerabilidades  y  falsas  medidas  de  seguridad 
implementadas  por  las  companias  telefonicas.  Con  el  tiempo,  su  contenido  fue  moviendose 
hacia  el  mundo  de  los  ordenadores  y  la  seguridad  informatica.  Algunos  nombres  miticos 
en  la  historia  de  la  seguridad  informatica  guardan  una  relacion  muy  directa  con  la  revista 
Phrack.  Desde  los  editores  originales,  Taran  King  y  Knight  Lightning,  hasta  grupos  como 
Legion  of  Doom. 

La  conmemoracion  de  este  ultimo  numero  se  realiza  a  traves  de  la  publicacion  de  una 
edicion  especial  en  papel  (por  tercera  vez  en  la  historia),  que  se  reparte  durante  la 
celebracion  del  “What  the  Hack"  y  Defcon  13. 


_  Aparecen  una  serie  de  variantes  de  malware  capaces  de  aprovechar  la  vulnerabilidad  (remota  y  que 
permite  la  ejecucion  de  codigo)  parcheada  en  el  boletin  MS05-039  de  Microsoft,  que  afecta  a  Windows 
2000.  Zotob  y  otras  variantes  comienzan  a  causar  estragos.  Medios  como  la  CNN,  ABC  y  The  New 
York  Times  se  ven  azotados  por  este  gusano.  Como  efecto  colateral  los  sistemas  infectados  se  reinician 
constantemente,  lo  que  impide  trabajar  con  ellos. 

_  El  1  de  agosto  se  pone  en  marcha  el  blog  del  laboratorio  de  Hipsasec.  Nace  como  un  espacio  mas 
directo  e  informal  donde  se  tratara  cualquier  tema  a  titulo  personal.  Apuntes  tecnicos,  anotaciones, 
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opinion,  notas  de  humor  y,  en  definitiva,  cualquier  tipo  de  contenido  que  por  alguna  extraha  razon  nos 
haya  resultado  interesante,  sin  que  exista  una  periodicidad  o  tematica  prefijada. 

_  En  la  edition  de  la  Black  Hat  estaba  programada  una  presentacion  por  parte  de  Michael  Lynn  sobre 
como  comprometer  los  routers  Cisco.  En  un  intento  de  censurar  dicha  informacion,  Cisco  recurre 
a  tacticas  legales  para  impedir  la  divulgation  de  la  informacion.  El  efecto  es  el  contrario  al  buscado:  hay 
presentacion,  la  documentation  cuelga  de  numerosos  sitios  de  Internet,  y  el  caso  despierta  un  gran  interes 
tanto  en  investigadores  de  seguridad  como  enlos  medios  de  comunicacion.  En  la  reunion  Def  Con  posterior 
se  observan  grupos  de  trabajo  discutiendo  sobre  como  reproducir  de  forma  practica  el  estudio  de  Lynn 
(que  no  aporto  detalles  tecnicos).  Cisco  publica  un  parche  dos  dias  despues  de  la  charla. 


Un  australiano  consigue  anular  una  multa  de  trafico  ante  la  imposibilidad  de  las  autoridades 
de  trafico  de  demostrar  fehacientemente  que  la  imagen  registrada  por  un  radar  no 
ha  sido  alterada.  El  australiano  circulaba  con  su  coche  por  una  carretera  que  estaba 
siendo  controlada  con  un  radar.  El  abogado  que  representa  al  amonestado  recurre  la 
denuncia,  argumentando  que  no  se  ha  probado  que  la  imagen  obtenida  por  la  camara 
asociada  al  radar  no  ha  sido  modificada  de  ninguna  forma.  Las  autoridades  australianas 
del  trafico  responden  a  esta  argumentacion  que  se  utiliza  el  algoritmo  matematico  MD5 
para  obtener  una  suma  de  control  de  las  imageries  obtenidas  por  el  radar.  El  problema 
radica  en  que  no  encuentran  a  ningun  perito  que  demuestre  ante  el  tribunal  la  validez 
de  dicho  algoritmo.  La  funcion  de  hash  criptografico  MD5  (Message-Digest  algorithm  5) 
Neva  ya  anos  mostrando  signos  de  debilidad,  inadecuado  para  los  tiempos  que  corren.  Si 
bien  se  ha  llevado  varios  varapalos  desde  su  creacion,  a  principios  de  2008  se  demostrarfa 
que  es  posible  crear  arbitrariamente  dos  flujos  de  datos  que  resulten  en  el  mismo  hash  o 
fi rma.  Marc  Stevens,  Arjen  Lenstra,  y  Benne  de  Weger  harian  publico  un  metodo  por  el  que, 
anadiendo  un  punado  de  bytes  a  un  archivo,  se  podria  hacer  que  su  firma,  su  hash  MD5, 
fuese  identico  a  otro  fichero  arbitrario.  La  diferencia  en  este  caso  es  que  las  colisiones 
pueden  ser  elegidas,  provocadas  sobre  dos  ficheros  cualesquiera.  Lo  conseguirian  con 
una  sola  maquina  en  menos  de  dos  dias.  Un  tiempo  mas  que  razonable. 


_  En  un  estudio  divulgado  por  la  asociacion  norteamericana  de  ingenieros  IEEE-USA,  en  su  publication 
Today’s  Engineer,  con  titulo  “United  States  Facing  Cyber  Security  Crisis”,  se  afirma  que  la 
infraestructura  de  seguridad  y  tecnologias  de  la  informacion  en  EEUU  es  altamente  vulnerable  ante  ataques 
terroristas  y  criminales.  Las  instalaciones  afectadas  y  comprendidas  en  el  estudio  van  desde  los  sistemas 
de  control  de  trafico  aereo,  redes  de  electrification  y  suministro  energetico,  sistemas  financieros,  ademas 
de  redes  de  inteligencia  y  militares.  Cliff  Lau,  perteneciente  al  comite  de  politica  de  I+D  de  IEEE-USA, 
explica  que  de  seguir  las  cosas  como  estan,  las  perspectivas  a  cinco  anos  vista  son  realmente  inquietantes. 
Lau  define  la  situation  como  “al  borde  de  la  perdida  de  control”,  una  vez  analizada  la  situation  actual  y  las 
perspectivas  esperadas  para  ese  periodo. 

_  En  agosto  el  FBI  anuncia  la  detention  en  Marruecos  de  Farid  Essebar,  alias  “Diablo”,  de  18  anos 
de  edad,  y  de  su  supuesto  complice  en  Turquia  Atilla  Ekici,  alias  “Coder”,  de  21  anos.  Ambos  son  los 
sospechosos  de  distribuir  los  gusanos  Zotob  y  Mytob.  Segun  la  investigation  sus  practicas  tenian 
un  movil  economico  relacionado  con  el  fraude  a  usuarios  de  entidades  financier  as.  Los  dos  detenidos  se 
conocian  unicamente  por  Internet.  Microsoft  juega  un  papel  importante  en  su  localization,  al  ofrecer 
pistas  importantes  que  encontraron  al  analizar  el  codigo  de  los  gusanos.  El  codigo  original  de  Zotob 
incluye  el  texto  “Botzor2005  Made  By  ....  Greetz  to  good  friend  Coder.  Based  On  HellBot3”,  y  ademas  el 
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gusano  intenta  conectar  por  el  puerto  8080  a  un  servidor  IRC  en  la  direction  “diablo.turkcoders.net”. 
Ambas  pistas,  fruto  de  un  exceso  de  confianza  o  ansias  de  protagonismo  son  claves  para  el  initio  de  la 
investigation. 


El  debate  Firefox  (que  no  saca  su  version  estable  1.5  hasta  noviembre  de 
2005)  vs.  Internet  Explorer  esta  en  su  mayor  auge.  Firefox ya  alcanza  el  7% 
de  uso,  y  llegaria  al  9  a  principios  de  2006.  Se  convierte  en  una  amenaza 
para  Internet  Explorer  que,  tras  haber  conseguido  picos  del  95%  de  uso 
en  2004,  se  mueve  en  esos  momentos  en  el  87%.  Para  poder  seguir  en 
el  juego,  Opera  se  ve  obligado  a  volverse  completamente  gratuito  en 
noviembre,  eliminando  la  publicidad  que  incluia  en  su  navegador  para 
los  que  lo  descargaran  sin  pagar.  Un  estudio  de  Symantec  suscita  el  debate  sobre  que 
navegador  es  mas  seguro.  El  titular  que  trasciende  del  informe  es  que  Firefox  ha  tenido 
mas  vulnerabilidades  que  Internet  Explorer  en  lo  que  ha  transcurrido  de  ano.  Aunque  el 
dato  es  cierto,  se  puede  argumentar  que  aun  asi  es  mas  seguro  navegar  con  Firefox  que 
con  Internet  Explorer,  puesto  que  el  malware  siempre  intenta  aprovechar  los  sistemas  de 
uso  mayoritario.  El  que  los  atacantes  decidan  fijar  su  atencion  mas  en  Internet  Explorer  que 
en  Firefox  poco  tiene  que  ver  con  la  facilidad  de  explotacion  en  aplicaciones  de  codigo 
abierto  o  cerrado.  En  junio  de  2008  se  detectaria  en  nuestro  laboratorio  de  Hispasec  un 
ejemplar  de  malware  no  interesado  en  la  amplia  base  de  usuarios  de  Internet  Explorer  y 
exclusivamente  dirigido  a  los  de  Firefox. 

En  el  informe  de  Symantec  se  afirma  que  el  tiempo  medio  entre  que  se  publico  una 
vulnerabilidad  y  aparece  el  exploit  ha  descendido  a  6  dias,  mientras  que  situa  la  media  en 
54  dias  el  tiempo  que  transcurre  entre  la  aparicion  de  una  vulnerabilidad  y  la  publicacion 
del  parche.  Esto  abre  una  ventana  de  48  dias  donde  los  sistemas  pueden  ser  vulnerables. 


_  En  septiembre  Creative  lanza  alguna  remesa  de  sus  reproductores  Neeon  con  un  “extra”  en  la  memoria: 
un  ejemplar  del  gusano  Wullik-B. 

_  Nessus  anuncia  que  abandonara  la  licencia  GPL  para  su  proxima  version  (la  3),  mientras  que  la 
empresa  Sourcefire,  los  padres  de  Snort,  son  comprados  por  Check  Point.  Nessus  nacio  de  la  mano  de 
Renaud  Deraison,  quien  creo  en  2002  la  empresa  Tenable  Security.  Mientras  que  Martin  Roesh,  el  creador 
de  Snort,  fundo  la  empresa  Sourcefire  en  el  2001.  Ante  las  nuevas  noticias,  Martin  Roesh  da  las  gracias  a 
la  comunidad  open  source,  y  asegura  la  continuidad  del  proyecto  Snort  en  las  mismas  condiciones,  cosa 
que  cumpliria.  Renaud  Deraison  afirma  que  Nessus  2  seguira  bajo  GPL  aunque  se  limitara  a  parchear  los 
problemas  que  puedan  encontrarse,  mientras  que  Nessus  3  con  importantes  mejoras  sera  gratuito  pero  no 
se  distribuira  bajo  GPL. 

_  Comienzan  a  popularizarse  las  tarjetas  de  coordenadas  entre  las  entidades  bancarias  para  luchar 
contra  el  phishing.  La  idea  es  que  en  cada  operation  que  implique  movimiento  de  dinero,  se  pida  una 
clave  de  entre  un  buen  numero  de  coordenadas  disponibles  en  una  tarjeta.  Si  un  usuario  realiza  una 
operation,  solo  introduce  una  o  dos  coordenadas  y,  aunque  sean  robadas,  la  posibilidad  de  que  se  soliciten 
las  mismas  en  una  operation  posterior  son  minimas.  El  phishing  evoluciona  y  se  detecta  un  caso  contra 
eBankinter  en  el  que  despues  de  introducir  el  usuario  y  contrasena  se  presenta  un  formulario  donde  se 
deben  introducir  todos  los  numeros  de  la  tarjeta  de  coordenadas.  Asi  el  atacante  esta  seguro  de  disponer 
de  todas  las  posibilidades.  Anteriormente  se  habia  observado  un  caso  contra  LaCaixa  en  el  que  se  pedia 
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directamente  el  envio  de  la  tarjeta  completa  por  fax.  Los  usuarios  pican,  pensando  que  supone  una  mejora 
de  la  seguridad.  Serla  una  tecnica  habitual  y  exitosa  que  aun  se  mantiene  en  la  actualidad. 


Sony  utiliza  un  rootkit.  La  tecnica  utilizada  por  el  software  anticopia  distribuido  en  algunos 
CDs  de  Sony  BMG  es  similar  a  la  empleada  por  malware  avanzado  para  evitar  ser 
descubiertos  por  los  antivirus.  El  problema  se  agrava  porque  la  instalacion  de  ese  software, 
que  se  Neva  a  cabo  sin  informar  previamente  al  usuario  que  compra  y  utiliza  legalmente 
el  CD,  abre  en  Windows  una  brecha  de  seguridad  que  pueden  aprovechar  virus,  gusanos 
y  troyanos.  Ante  la  avalancha  de  criticas,  Sony  BMG  insiste  en  que  su  software  no  es 
malicioso  ni  compromete  la  seguridad  de  sus  clientes,  sin  embargo  reconoce  que  puede 
plantear  vulnerabilidades  potenciales  y  se  ve  forzada  a  ofrecer  una  utilidad  ActiveX  para 
desinstalarlo.  En  noviembre  aparece  el  primer  troyano  que  utliza  el  rootkit  de  Sony  para 
esconderse.  Aprovecha  una  de  las  funciones  del  rootkit  de  Sony  que  oculta  por  defecto 

todas  las  entradas  del  registro,  procesos,  carpetas  y  archivos  cuyo 
nombre  comiencen  por  “$sys$”.  Un  analisis  en  el  laboratorio  de 
Hispasec  descubre  que  el  troyano  se  equivoca  al  introducir  una 
clave  en  el  registro  que  le  permita  ejecutarse  en  cada  inicio, 
perdiendo  efectividad.  Poco  despues,  tras  incluso  detectarse  una 
vulnerabilidad  en  el  propioActiveXnecesario  para  la  desinstalacion 
del  programa  anticopia  (que  volvia  vulnerable  a  los  sistemas  que 
lo  habian  instalado)  la  situacion  se  vuelve  insostenible  y  Sony 
abandona  definitivamente  el  rootkit  anticopia. 


_  Se  detecta  Lupper/Lupii,  malware  disenado  para  sistemas  Linux.  El  troyano  aprovecha  la 
vulnerabilidad  XML-RPC  detectada  en  julio  de  2005,  en  servidores  de  PHP  en  maquinas  Linux. 

_  Zero  Day  Initiative  de  TippingPoint  publica  su  primera  alerta  en  octubre.  Se  trata  de  una  compania, 
filial  de  3Com,  que  paga  a  investigadores  por  sus  vulnerabilidades  descubiertas,  a  cambio  de  cederselas 
en  exclusiva.  TippingPoint  se  asegura  asi  de  una  revelation  responsable  y,  ademas,  protege  a  los  clientes 
de  sus  productos  en  primicia  ante  la  vulnerabilidad  descubierta.  Seria  una  iniciativa  con  bastante  exito 
que  motivaria  la  investigation  entre  los  analistas  de  seguridad.  Un  poco  mas  tarde,  en  febrero  de  2006, 
iDefense  ofreceria  hasta  10.000  dolares  por  vulnerabilidades  que  permitiesen  ejecucion  de  codigo  en 
Windows.  TippingPoint  contraatacaria  ofreciendo  hasta  50.000. 

_  Se  detecta  un  desbordamiento  de  memoria  intermedia  en  la  version  2.0  del  firmware  de  la  PSP  (Play 
Station  Portable)  que  permite  la  ejecucion  de  codigo.  Aprovechando  esta  vulnerabilidad  se  publica  una 
utilidad  que  permite  realizar  una  regresion  a  la  version  1.5  del  firmware,  con  la  ventaja  de  que  con  ella  el 
usuario  puede  ejecutar  software  “no  autorizado”  por  Sony.  Tambien  se  crea  un  troyano  que,  disfrazado  de 
utilidad  para  bajar  de  la  version  2.0  a  la  1.5  del  firmware,  en  realidad  elimina  varios  archivos  criticos  de 
la  flash  de  la  PSP. 

_  El  ano  acaba  con  la  vulnerabilidad  en  tratamiento  de  archivos  WMF  de  Windows  en  todo  su 
apogeo.  Se  detecta  que  se  esta  usando  un  exploit  que  aprovecha  una  vulnerabilidad  de  Microsoft  para  la 
que  no  existe  parche,  y  que  puede  ser  explotada  por  atacantes  remotos  para  ejecutar  codigo.  Si  la  victima 
utiliza  Internet  Explorer,  puede  provocarse  la  ejecucion  automatica  de  codigo  arbitrario  al  visitar  una  web 
especialmente  manipulada.  2006  empezaria  con  esta  vulnerabilidad,  y  todo  lo  que  dio  de  si,  en  numerosos 
titulares. 
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Una  al  dia 


01/02/2005  Publicidad  falsa  de  Terra  en  relation  a  su  antivirus 

“Antivirus  detecta  y  bloquea  todos  los  virus  desconocidos  y  asegura  la  proteccion  contra  las  variantes  que 
se  crean  a  partir  del  virus  original”.  Con  esta  frase  lapidaria,  publicada  en  su  web,  Terra  vende  el  servicio 
de  antivirus  basado  en  el  motor  de  McAfee. 

A  estas  alturas  sobra  decir  que  no  existe  ninguna  solucion  que  pueda  garantizar  un  100%  de  seguridad. 
En  el  caso  de  los  antivirus  es  algo  totalmente  obvio,  por  definition  no  pueden  detectar  todos  los  virus 
desconocidos  0  de  nueva  creation,  y  de  hecho  cualquier  solucion  antivirus  tambien  pierde  un  porcentaje 
de  virus  que  estan  pululando  por  Internet  y  cuyas  muestras  aun  no  han  analizado  en  sus  laboratories  e 
incorporado  a  sus  actualizaciones. 

En  la  misma  web  podemos  leer  “Contrate  Antivirus  ahora  y  olvidese  de  los  virus.  Antivirus  comprueba 
automaticamente  si  hay  nuevas  versiones  o  actualizaciones  de  virus  para  que  su  proteccion  este  siempre 
actualizada”.  Ya  es  contradictorio  que  un  motor  que  dice  detectar  todos  los  virus  desconocidos  necesite 
actualizaciones  de  virus. 

Anuncios  como  el  de  Terra,  ademas  de  ser  publicidad  falsa  (con  lo  que  ello  pudiera  conllevar),  son  claramente 
contraproducentes  para  los  usuarios,  ya  que  crean  una  falsa  sensation  de  seguridad.  Los  usuarios  deben 
ser  en  todo  momento  conscientes  de  las  limitaciones  intrinsecas  de  las  soluciones  antivirus,  y  en  ningun 
momento  deben  olvidarse  de  los  virus,  0  terminaran  infectandose. 

Los  antivirus  son  una  capa  de  seguridad  recomendable  y  necesaria  en  sistemas  domesticos  y  entornos 
corporativos,  pero  como  toda  solucion  tiene  sus  limitaciones,  y  es  entonces  cuando  la  unica  linea  de  defensa 
es  el  factor  humano.  Si  vamos  promulgando  que  el  antivirus  es  infalible,  que  el  usuario  debe  olvidarse  de 
los  virus  por  complete,  0  incluyendo  un  pie  en  el  correo  electronico  diciendo  que  el  mensaje  esta  libre  de 
virus...  al  final  lograremos  que,  por  un  exceso  de  confianza,  el  usuario  se  infecte. 

Sin  animo  de  cargar  las  tintas  contra  McAfee,  que  suponemos  habra  sido  victima  del  marketing  de  Terra, 
algunos  datos  para  corroborar  lo  obvio: 

En  VirusTotal  recibimos  durante  el  mes  de  enero  18.234  muestras  de  usuarios  de  Internet,  de  las  cuales 
10.297  fueron  detectadas  como  infectadas  (uno  0  mas  antivirus  la  identificaron  como  virus  0  malware).  De 
esas  10.297  muestras  infectadas,  McAfee  solo  detecto  4.062,  es  decir,  un  39,45%  de  acierto.  Si  hicieramos 
un  ranking  basado  en  el  porcentaje  de  detection,  McAfee  ocuparia  el  70  puesto. 

Seguramente  a  mas  de  uno  le  sorprendera  un  porcentaje  de  detection  tan  bajo.  Hay  que  decir  en  defensa 
de  McAfee  que  las  muestras  que  suelen  enviar  los  usuarios  a  VirusTotal  son  bastante  heterogeneas,  no  solo 
se  envia  el  tipico  gusano  de  turno.  Pero,  al  fin  y  al  cabo,  son  muestras  infectadas  enviadas  por  los  usuarios 
y  que  circulan  por  Internet. 

En  el  siguiente  enlace  podemos  observar  una  captura  de  la  publicidad  de  Terra,  que  esperamos  sea 
corregida  a  la  mayor  brevedad: 

http://www.hispasec.c0m/images/mcafee_terra_20050201.png 


Bernardo  Quintero 
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12/04/2005  Fuerza  bruta  contra  creatividad,  los  gusanos  buscan  el  dinero 

En  los  ultimos  dias  estamos  asistiendo  a  un  goteo  constante  de  nuevas  variantes  del  gusano  Mytob.  La 
estrategia  de  su  creador  o  creadores,  a  falta  de  nuevas  ideas  en  la  propagation  de  gusanos,  parece  ser 
distribuir  muchas  variantes  con  pequenas  modificaciones  para  intentar  evitar  a  los  antivirus  durante  las 
primeras  horas,  mientras  que  se  desarrolla  la  pertinente  firma,  y  afectar  al  maximo  numero  de  usuarios. 

Pese  al  bombardeo  continuo,  hay  dias  que  hemos  contado  hasta  5  nuevas  variantes,  la  propagacion  hasta  el 
momento  es  discreta,  no  protagonizando  ningun  pico  especialmente  relevante  de  infecciones.  No  obstante 
esta  por  ver  si  esta  estrategia  esta  dando  realmente  sus  frutos  y  si,  sin  necesidad  de  una  propagacion 
relampago,  poco  a  poco  esta  logrando  un  parque  importante  de  sistemas  infectados. 

Las  motivaciones  por  las  que  se  crea  un  gusano  pueden  ser  de  lo  mas  variadas,  pero  en  este  caso  apunta  a 
que  el  interes  se  centra  en  controlar  el  mayor  numero  de  sistemas  de  forma  remota,  probablemente  para 
realizar  ataques  distribuidos,  desde  envio  de  spam,  hasta  una  denegacion  de  servicios,  pasando  por  el 
robo  de  credenciales  de  acceso  a  sistemas  bancarios. 

Y  es  que  en  los  ultimos  tiempos  se  ha  perdido  el  “romanticismo”  en  la  creation  de  virus  y  gusanos,  si  es  que 
alguna  vez  pudo  describirse  en  esos  terminos,  especialmente  cuando,  en  el  mejor  de  los  casos,  terminan 
causando  autenticos  quebraderos  de  cabeza,  sin  contar  destrozos  mayores. 

Hoy  dia,  hemos  pasado  de  los  experimentos  de  estudiantes  a  la  mafia  organizada,  a  autenticos  profesionales 
del  malware  que,  por  encima  de  todo,  buscan  un  rendimiento  economico. 

En  un  primer  momento  pudiera  parecer  que  esta  profesionalizacion,  con  mayores  recursos  a  sus  espaldas, 
se  traduciria  en  unos  especimenes  mas  sofisticados.  Sin  embargo  podemos  observar  que  mas  bien  es  al 
contrario,  se  ha  pasado  de  la  creatividad  a  la  fuerza  bruta.  Cada  vez  hay  mas  proliferation  de  malware, 
pero  se  ha  perdido  en  “calidad”  tecnica. 

Mientras  para  los  creadores  de  virus  de  la  vieja  escuela  parte  de  la  motivation  venia  dada  por  inventar  y 
experimentar  con  nuevas  tecnicas,  hoy  dia  la  mayoria  lo  que  busca  son  resultados  cuantitativos.  Y  todo 
parece  indicar  que  resulta  mas  rentable  en  esos  terminos  dedicarse  a  modificar  continuamente  el  codigo 
del  mismo  gusano  mas  que  a  buscar  nuevos  enfoques  que  tal  vez  no  tengan  una  rentabilidad  directa  en 
numero  de  infecciones. 

En  el  caso  de  la  avalancha  actual  de  variantes  de  Mytob,  por  ejemplo,  podemos  ver  como  se  utiliza  la  tipica 
estrategia  del  envio  del  archivo  infectado  adjunto  por  e-mail  junto  a  otras  tecnicas  bien  conocidas,  como 
es  aprovechar  la  vulnerabilidad  LSSAS  que  Microsoft  parcheo  el  ano  pasado,  la  misma  que  exploto  el 
famoso  gusano  Sasser. 

Y  con  esa  estrategia  bien  conocida  y  para  las  que  existen  formas  basicas  de  prevention,  tlogran  infectar 
sistemas?.  Afirmativo.  Internet  es  enorme,  y  si  bien  mucha  gente,  como  nuestros  lectores,  cumplen  unas 
normas  basicas  de  seguridad  que  les  permite  prevenir  este  tipo  de  gusanos,  existe  un  gran  numero  de 
sistemas  y  usuarios  sin  protection  alguna,  a  los  que  un  gusano  de  e-mail  les  debe  sonar  a  algo  parecido  a 
un  insecto. 

Es  para  este  parque  de  maquinas  y  usuarios  desprotegidos  para  los  que  se  desarrolla  este  tipo  de  gusanos 
y  otro  tipo  de  malware  que  a  nosotros  nos  molesta  mas  por  el  spam  que  pueden  llegar  a  generar  que  por 
el  peligro  de  infectarnos. 
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Es  tal  la  lucha  de  los  creadores  de  este  tipo  de  malware  por  controlar  ese  parque  de  maquinas  desprotegidas 
que  es  habitual  ver  guerras  entre  ellos,  por  ejemplo  que  una  determinada  familia  de  gusanos  desactive  a 
otros  gusanos  en  la  competition  por  hacerse  con  los  sistemas  mas  debiles. 

En  definitiva,  tal  y  como  estan  las  cosas,  no  nos  queda  mas  remedio  que  sufrir  la  avalancha  cotidiana  de 
nuevas  variantes  y  versiones  con  las  mismas  tecnicas  mas  o  menos  reconocidas. 

No  obstante,  nunca  debemos  bajar  la  guardia,  cada  cierto  tiempo,  al  menos  ha  sido  asi  durante  los  ultimos 
anos,  siempre  ha  surgido  algun  nuevo  especimen  especialmente  virulento,  y  ultimamente  las  aguas  estan 
muy  calmadas... 


Bernardo  Quintero 


21/04/2005  Virus  y  moviles,  una  tendencia  al  alza 

Aunque  aun  son  testimoniales,  el  numero  de  nuevos  virus,  troyanos  y  gusanos  para  dispositivos  moviles 
va  en  claro  aumento.  De  momenta  no  dejan  de  ser  pruebas  de  concepto,  con  un  poder  de  propagacion 
limitado,  pero  es  un  indicador  claro  de  que  estamos  viviendo  los  inicios  de  una  nueva  etapa/plataforma 
para  el  malware. 

Lo  que  comenzo  como  una  anecdota  a  mediados  del  pasado  ano,  con  la  aparicion  de  Cabir,  un  gusano  para 
Symbian  que  se  propagaba  a  traves  de  Bluetooth,  empieza  a  ser  ya  una  constante  este  ano  con  la  aparicion 
de  un  nuevo  especimen  0  variantes  practicamente  todos  los  meses.  En  cualquier  caso  aun  siguen  siendo 
basicamente  muestras  de  laboratorio,  con  escasa  incidencia  en  el  mundo  real,  y  con  una  production  infima 
en  comparacion  con  la  aparicion  de  malware  para  PCs. 

Basicamente,  hasta  la  fecha,  la  mayoria  del  malware  destinado  a  moviles  se  ha  desarrollado  para  Symbian, 
no  en  vano  es  la  plataforma  dominante  con  mas  del  90%  del  mercado,  con  Nokia  como  principal  “culpable” 
de  ese  dominio. 

En  cuanto  a  la  tipologia  del  malware,  a  principios  de  ano  aparecio  Lasco,  un  virus  capaz  de  infectar  a 
otros  ejecutables  SIS  del  dispositivo.  El  resto  se  puede  dividir  en  dos  grandes  grupos,  por  un  lado  tenemos 
a  los  troyanos  que  se  hacen  pasar  por  aplicaciones  legitimas  y  que  incluyen  algun  codigo  malicioso, 
normalmente  desactivando  alguna  de  las  funcionalidades  de  los  moviles,  y  por  otro  lado  a  los  gusanos  que 
intentan  propagarse  a  traves  de  Bluetooth. 

La  propia  tecnologia  Bluetooth  ya  supone  una  traba  para  las  propagaciones  masivas,  debido  a  que  el 
alcance  de  la  conexion  inalambrica  no  supera  los  10  metros.  Es  como  si  un  gusano  infectara  un  PC  en  la 
oficina  y  solo  pudiera  afectar  a  otros  ordenadores  que  esten  a  la  escucha  en  un  radio  de  10  metros. 

Si  bien  en  el  caso  de  los  moviles  ayuda  el  hecho  de  que  no  permanecen  fijos  en  una  ubicacion,  sino  que 
se  trasladan  con  su  dueno,  este  tipo  de  estrategia  queda  lejos  de  la  potencia  de  propagacion  que  tiene  un 
gusano  tipico  de  Internet.  Por  ejemplo,  a  traves  del  e-mail,  puede  llegar  a  un  parque  potential  de  millones 
de  maquinas  en  cuestion  de  minutos. 

Sin  embargo  el  pasado  mes  de  marzo  ya  tuvimos  un  toque  de  atencion  con  la  aparicion  de  Comwar,  un 
gusano  que,  ademas  de  propagarse  por  Bluetooth,  se  enviaba  a  toda  la  lista  de  contactos  del  movil  infectado 
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a  traves  de  mensajes  multimedia  (MMS),  con  una  estrategia  muy  similar  a  la  de  los  tipicos  gusanos  de 
Internet  por  e-mail. 

Afortunadamente  el  incidente  no  paso  a  mayores,  pero  todos  los  indicios  apuntan  a  que  la  cuenta  atras 
ha  comenzado  en  este  nuevo  campo  de  batalla,  y  que  la  amenaza  de  una  infection  masiva  empieza  a 
contemplarse  como  una  posibilidad  a  medio  plazo. 


Bernardo  Quintero 


26/05/2005  Nueva  generation  de  phishing  rompe  todos  los  esquemas 

Hispasec  demuestra  como  es  posible  realizar  ataques  phishing  en  servidores  seguros  de  entidades 
bancarias,  aun  cuando  el  usuario  visualice  que  la  URL  comienza  por  https://  seguido  del  nombre  de 
la  entidad  y  que  el  icono  del  candado  que  aparece  en  la  parte  inferior  del  navegador  certifique  que  se 
encuentra  en  el  servidor  seguro  del  banco. 

Hasta  la  fecha  las  recomendaciones  para  acceder  de  forma  segura  a  la  banca  electronica  hacian  hincapie 
en  comprobar  que  la  URL  del  navegador  comenzara  por  https://  seguido  del  nombre  de  la  entidad,  asi 
como  que  haciendo  doble  click  en  el  candado  que  aparece  en  la  parte  inferior  del  navegador  se  comprobara 
el  certificado,  para  cerciorarse  de  que  el  usuario  estaba  navegando  en  el  servidor  seguro  de  la  entidad. 

En  un  estudio  sobre  phishing  avanzado,  llevado  a  cabo  por  Hispasec  de  cara  a  prevenir  futuras  tecnicas 
de  ataque,  se  han  detectado  varias  areas  de  oportunidad,  una  de  ellas  hace  inutiles  las  recomendaciones 
anteriores. 

Basicamente  se  trata  de  aprovechar  un  tipo  de  vulnerabilidad  muy  comun  en  aplicaciones  webs,  como  es  el 
Cross-Site  Scripting  (XSS),  para  modificar  el  contenido  de  la  web  que  el  usuario  visualiza  en  su  navegador. 
Este  tipo  de  vulnerabilidad  es  bien  conocida  en  el  mundo  de  la  seguridad,  si  bien  en  contadas  ocasiones  se 
considera  de  un  riesgo  medio  y  no  se  le  presta  la  atencion  que  se  merece. 

En  el  analisis  realizado  por  Hispasec  en  webs  reales  de  entidades  bancarias  se  demuestra  como  es  posible 
aprovechar  este  tipo  de  vulnerabilidad  para  llevar  a  cabo  ataques  de  phishing  avanzados.  Este  tipo  de 
ataque  permite  al  usuario  comprobar  el  certificado  de  seguridad  del  web  de  la  entidad  que  esta  visitando 
sin  que  pueda  observar  nada  irregular,  hasta  la  fecha  uno  de  los  metodos  mas  seguros  que  el  usuario  tenia 
para  cerciorarse  de  que  no  estaba  siendo  victima  de  un  phishing  y  que  sus  datos  se  transmitian  de  forma 
cifrada  a  la  entidad  bancaria. 

Para  hacer  mas  visual  y  comprensible  el  alcance  del  problema,  Hispasec  ha  preparado  tres  videos  (flash) 
donde  se  detalla  un  caso  real  de  phishing  sobre  una  entidad  realizado  como  prueba  de  concepto  (avisado  y 
corregido  antes  de  publicar  estas  lineas).  El  primero  de  los  videos  muestra  la  perspectiva  de  la  victima  que 
sufre  la  estafa,  el  segundo  como  el  atacante  ha  preparado  el  phishing,  y  un  tercero  generico  explicando  de 
forma  grafica  las  implicaciones  de  los  Cross-Site  Scripting  en  los  servidores  seguros. 

Recomendamos  encarecidamente  la  visualization  de  los  videos  flash  disponibles  en  la  direction: 

http://www.hispasec.com/directorio/laboratorio/phishing/demo 
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De  manera  independiente  a  si  es  un  problema  de  implementation  o  vacio  en  las  especificaciones,  parece 
tambien  oportuno  que  los  navegadores,  al  igual  que  avisan  cuando  desde  una  conexion  segura  se  van 
a  visualizar  elementos  no  seguro,  incorporaran  un  mecanismo  para  alertar  cuando  se  estan  cruzando 
contenidos  de  diferentes  servidores  seguros.  De  lo  contrario  siempre  rondara  la  duda  en  el  esquema  de 
autenticacion  de  servidores  web  seguros. 

Ademas  de  las  implicaciones  tecnicas  y  de  la  dificultad  que  entranaria  a  los  usuarios  detectar  este  nuevo 
tipo  de  phishing,  el  ataque  situa  gran  parte  de  la  responsabilidad  en  manos  de  la  entidad  bancaria  afectada, 
ya  que  es  posible  llevarlo  a  cabo  aprovechando  vulnerabilidades  en  la  programacion  de  su  web,  y  no  se 
facilitan  al  usuario  mecanismos  adicionales  para  poder  prevenir  y  detectar  el  fraude  de  forma  sencilla. 

Hispasec  ha  llevado  a  cabo  un  estudio  preliminar  sobre  50  sitios  webs  de  entidades  bancarias 
espanolas,  realizando  un  analisis  superficial  de  la  portada,  detectando  que  6  de  ellas  (12%)  presentaban 
vulnerabilidades  del  tipo  Cross-Site  Scripting  (XSS)  evidentes  en  su  primera  pagina. 

Debemos  hacer  hincapie  en  que  las  vulnerabilidades  XSS  pueden  estar  presentes  en  cualquier  pagina  de  la 
entidad,  no  solo  en  la  portada,  por  lo  que  el  numero  real  de  entidades  afectadas  puede  ser  muy  superior. 

Dada  las  implicaciones  en  materia  de  seguridad  que  puede  tener  este  tipo  de  debilidades  para  sus 
clientes,  Hispasec  recomienda  encarecidamente  a  todas  las  entidades  bancarias  realicen  periodicamente 
auditorias  de  sus  servicios  webs  incluyendo,  de  forma  especial,  el  analisis  por  parte  de  expertos  del  disefio 
y  programacion  de  sus  paginas. 

Por  su  parte  los  usuarios  deberan  evitar  a  toda  costa  utilizar  enlaces  que  les  lleguen  a  traves  del  correo 
electronico  o  mediante  otra  via  para  enlazar  con  servicios  sensibles,  como  es  el  caso  de  la  banca  electronica. 
Para  evitar  en  concreto  este  nuevo  tipo  de  ataque  se  recomienda  que  los  usuarios  escriban  de  forma  manual 
y  directa  la  direction  web  de  su  banco  en  el  navegador. 

Hispasec  ha  notificado  los  detalles  de  las  vulnerabilidades  detectadas  a  las  entidades  bancarias  que  forman 
parte  del  grupo  de  cooperation  anti-phishing  recientemente  formado,  y  de  forma  especial  a  las  entidades 
afectadas,  de  manera  independiente  a  su  participation  en  el  grupo,  para  que  puedan  proceder  a  su  pronta 
correction  y  prevenir  este  tipo  de  ataques. 

Por  ultimo  destacar  el  interes  y  eficiencia  de  las  entidades  afectadas  en  la  correction  de  los  casos  detectados, 
de  forma  especial  queremos  agradecer  a  Bankpyme  por  su  diligencia  ejemplar  a  la  hora  de  abordar  y 
solucionar  el  problema. 


Bernardo  Quintero 


27/07/2005  Troyanos  y  phishing,  una  amenaza  en  alza 

Los  phishers  incorporan  masivamente  el  uso  de  troyanos  especializados  en  la  captura  de  credenciales  como 
complemento  a  las  tecnicas  habituales  de  fraude,  basadas  en  la  falsification  de  paginas  web  y  formularios 
de  entidades  bancarias. 

Que  el  numero  de  ataques  phishing  no  deja  de  aumentar  es  un  hecho  evidente,  asi  lo  reflejan  tanto  las 
estadisticas  que  recopilan  este  tipo  de  incidentes  como  los  casos  concretos  que  cualquiera  de  nosotros 
podemos  llegar  a  recibir  en  nuestro  buzon  de  correo. 
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Existe  ademas  una  amenaza  intimamente  relacionada  con  el  phishing  traditional,  los  troyanos 
especializados  en  el  robo  de  las  credenciales  de  acceso  a  servicios  de  entidades  bancarias. 

El  fin  de  estos  troyanos  y  el  dano  que  causan  al  usuario  es  el  mismo  que  cualquier  phishing  basado  en 
el  engano  mediante  mensajes  y  paginas  falsas.  Con  el  agravante  de  que  el  troyano  puede  permanecer  en 
el  sistema  del  usuario  semanas  o  meses  capturando  y  enviando  a  los  phishers  todas  las  credenciales  de 
acceso  utilizadas  durante  ese  tiempo,  sin  que  el  usuario  pueda  percatarse  a  simple  vista  de  lo  que  ocurre. 

La  realidad  es  que,  en  la  actualidad,  el  numero  de  incidentes  relacionados  con  la  suplantacion  de  identidades 
en  los  servicios  de  banca  electronica  tiene  su  principal  origen  en  este  tipo  de  troyanos,  mas  que  en  el 
phishing  mas  tradicional  y  reconocido  basado  en  el  engano  mediante  mensajes  y  paginas  webs  que  imitan 
las  de  la  entidad  legitima. 

En  los  ultimos  casos  de  phishing  analizados  por  Hispasec,  y  en  los  que  hemos  logrado  el  acceso  a  los 
datos  obtenidos  por  los  phishers,  se  comprueba  que  cuantitativa  y  cualitativamente  los  troyanos  son  mas 
efectivos  para  los  intereses  de  los  atacantes,  en  comparacion  con  los  datos  obtenidos  mediante  la  imitation 
de  los  formularios  de  acceso  a  banca  electronica. 

Por  su  naturaleza,  los  troyanos  plantean  mas  problemas  de  prevention  a  las  propias  entidades  bancarias.  Ya 
que  a  diferencia  del  phishing  tradicional  no  es  un  ataque  contado  en  el  tiempo,  con  un  principio  (cuando  se 
detecta  el  envio  del  spam  con  el  mensaje  falso)  y  un  fin  (cuando  se  logra  desactivar  la  pagina  fraudulenta), 
y  por  tanto  no  pueden  establecer  las  medidas  de  vigilancia  especial  que  ponen  en  marcha  en  estos  casos. 

Ademas  los  troyanos  bancarios  pueden  tener  un  campo  de  action  muy  amplio.  Mientras  que  un  phishing 
tradicional  se  disena  contra  una  entidad  en  concreto,  el  troyano  permite  disenarlo  para  que  actue 
capturando  las  credenciales  de  un  gran  numero  de  entidades.  De  hecho,  a  dia  de  hoy  se  estan  capturando 
credenciales  de  usuarios  cuyas  entidades  no  han  sufrido  ataques  de  phishing  tradicional. 

Dada  las  ventajas  que  los  troyanos  suponen  para  los  phishers,  no  es  de  extranar  que  la  corriente  actual 
de  este  tipo  de  ataques  combine  ambas  tecnicas,  de  modo  que  los  ataques  de  phishing  que  simulan  las 
paginas  webs  de  servicio  de  banca  electronica  incluyen  ademas  la  instalacion  de  troyanos  para  capturar 
las  credenciales  de  acceso. 

Un  ejemplo  de  como  funcionan  este  tipo  de  ataques  combinados  lo  podemos  encontrar  en  el  ultimo  caso 
de  phishing  contra  clientes  del  BBVA. 

Desde  el  punto  de  vista  del  usuario,  recibe  en  su  buzon  de  correo  electronico  un  mensaje  supuestamente 
emitido  por  el  BBVA,  con  direction  de  remite  bbva-supporte.es  y  la  imagen  corporativa  de  la  identidad 
(logotipos,  etc.),  donde  se  le  informa  que  debe  rellenar  un  formulario  para  validar  su  identidad  o  de  lo 
contrario  su  cuenta  sera  bloqueada. 

El  formulario  incluye  el  numero  de  usuario,  clave  de  acceso,  clave  de  operaciones,  PIN  de  la  tarjeta,  codigo 
de  verification  de  la  tarjeta  y  documento  de  identidad. 

Si  el  usuario,  victima  del  engano,  introduce  sus  datos  en  el  formulario,  estos  seran  enviados  a  los  phishers, 
que  desde  ese  momento  podran  suplantar  la  identidad  del  usuario  para  acceder  y  realizar  operaciones  a 
traves  de  la  banca  electronica  en  su  nombre. 

Cuando  el  usuario  pulsa  el  boton  de  aceptar  del  formulario,  ademas  de  proceder  al  envio  de  los  datos 
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introducidos  (aunque  estos  sean  falsos),  se  le  redirige  a  una  pagina  web  que  incluye  diversos  scripts  que 
tienen  como  fin  explotar  algunas  vulnerabilidades  de  Internet  Explorer  para  instalar  un  troyano. 

Si  el  usuario  no  cuenta  con  una  version  actualizada  de  Internet  Explorer  o  una  solucion  antivirus  que 
detecte  los  scripts  maliciosos  o  el  troyano,  el  ejecutable  preparado  por  los  phishers  se  descargara  e  instalara 
en  su  sistema.  A  partir  de  entonces  todas  las  credenciales  que  utilice  en  sus  accesos,  bien  al  BBVA  u  a  otros 
servicios  por  Internet,  pueden  ser  capturadas  y  enviadas  a  los  phishers. 

En  el  momenta  de  escribir  estas  lineas  el  phishing  del  BBVA  sigue  activo,  por  lo  que  evitaremos  dar  detalles 
de  las  direcciones  para  evitar  cualquier  infection  accidental. 

La  respuesta  de  las  soluciones  antivirus  a  las  diferentes  paginas  web,  exploits  y  ejecutable  utilizados  por 
los  phishers  en  este  caso  concrete  ha  sido  irregular,  como  suele  ocurrir  en  este  tipo  de  ataques.  No  obstante 
las  casas  antivirus  participantes  en  VirusTotal  han  obtenido  las  muestras  utilizadas  en  el  phishing  que  no 
han  detectado  y  es  previsible  que  en  un  corto  plazo  de  tiempo  ofrezcan  protection  contra  las  mismas. 

Es  por  ello  que  los  usuarios,  ademas  de  contar  con  la  necesaria  solucion  antivirus,  deben  prestar  especial 
atencion  en  mantener  su  sistema  actualizado,  y  de  forma  mas  especial  si  cabe  el  navegador.  Ademas,  y 
dada  la  corriente  de  incluir  exploits  y  troyanos  en  las  paginas  de  phishing,  se  recomienda  a  los  usuarios 
que  eliminen  de  forma  inmediata  cualquier  mensaje  que  sospechen  sea  un  phishing,  evitando  visitar  las 
paginas  preparadas  por  los  phishers. 

En  cuanto  a  las  entidades,  que  estan  trabajando  diligentemente  en  la  formation  y  protection  de  sus  clientes, 
es  recomendable  que  amplien  su  vision  de  la  problematica  del  phishing  y  actualicen  sus  conocimientos 
sobre  las  tecnicas  empleadas  por  los  phishers,  ya  que  existen  areas  de  oportunidad  en  la  prevention 
proactiva  y  mitigation  tanto  del  phishing  traditional  como  de  la  generation  de  troyanos  especializados  en 
capturar  credenciales. 


Bernardo  Quintero 


21/09/2005  La  publicidad  web  como  via  para  infectar  los  sistemas 

La  publicidad  dinamica  que  muestran  las  paginas  webs  a  modo  de  banners  o  ventanas  esta  siendo  utilizada 
para  hacer  llegar  a  los  usuarios  contenidos  maliciosos. 

En  los  ultimos  tiempos  se  ha  visto  una  clara  proliferation  en  la  utilization  de  la  web  como  canal  para  infectar 
los  sistemas  y  llevar  a  cabo  estafas  de  todo  tipo.  Son  muchas  las  paginas  que  aprovechan  vulnerabilidades 
de  los  navegadores  no  actualizados,  especialmente  Internet  Explorer  por  ser  el  de  mayor  implantation,  0 
intentan  enganar  a  los  usuarios  con  distintas  tretas  para  que  instalen  los  programas  maliciosos. 

Hasta  la  fecha  este  tipo  de  infecciones  siempre  se  achacaba  a  que  el  usuario  visitaba  webs  de  dudosa 
procedencia,  no  confiables.  Asi  los  “dialers”,  programas  que  realizan  llamadas  de  tarificacion  adicional,  se 
solian  relacionar  con  la  navegacion  por  paginas  webs  de  contenidos  adultos,  o  los  troyanos  con  la  descarga 
de  cracks  para  juegos  y  aplicaciones  piratas. 

Sin  embargo  a  dia  de  hoy  se  ha  diversificado  en  gran  manera  los  sitios  web  que  pueden  contener  malware, 
una  simple  descarga  de  un  salvapantallas  o  incluso  una  aplicacion  antispyware  puede  esconder  en  su 
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interior  un  programa  malicioso. 

A  diferencia  de  los  metodos  de  propagation  de  malware  a  traves  del  correo  electronico,  donde  el  programa 
malicioso  llega  directamente  al  buzon  del  usuario,  la  infection  a  traves  de  los  sitios  webs  requiere  que  el 
usuario  vaya  a  visitar  una  pagina  determinada. 

Las  estrategias  para  llamar  la  atencion  del  usuario  son  variadas,  la  mas  habitual  consiste  en  realizar  un 
spam  con  un  mensaje  llamativo  para  que  los  usuarios  al  leerlo  se  sientan  atraidos  a  visitar  la  pagina  web 
maliciosa.  Con  la  catastrofe  del  Katrina  se  han  podido  ver  varios  ejemplos. 

Otro  de  los  metodos  en  boga  consiste  en  hacer  llegar  los  sitios  webs  maliciosos  a  los  usuarios  a  traves 
de  publicidad.  El  resultado  es  que  los  usuarios,  visitando  webs  confiables,  pueden  visualizar  banners  o 
ventanas  que  le  invitan  a  instalar  supuestas  utilidades  gratuitas  que  en  realidad  esconden  malware. 

Normalmente  los  sitios  webs  donde  aparece  esta  publicidad  maliciosa  no  son  conscientes  de  esta  practica, 
ya  que  los  banners  de  publicidad  suelen  ser  gestionados  por  terceras  empresas  y  se  incrustan  en  sus 
paginas  de  forma  dinamica. 

Esta  practica  constituye  un  riesgo  potential,  ya  que  el  sitio  web  no  tiene  control  sobre  los  contenidos 
publicitados.  Aunque  en  los  contratos  se  establece  una  politica  de  contenidos,  lo  cierto  es  que  en  muchas 
ocasiones  a  las  empresas  de  publicidad  se  les  cuelan  paginas  webs  maliciosas,  debido  a  que  no  existe  un 
control  exhaustivo  para  evitar  este  tipo  de  incidentes. 

Para  ver  un  claro  ejemplo  de  de  como  los  atacantes  estan  aprovechando  la  publicidad  para  intentar  instalar 
programas  maliciosos  recomendamos  ver  el  caso  que  describimos  del  conocido  sitio  de  tiras 
comicas  dilbert.com  en  http://blog.hispasec.com/laboratorio/43 


Bernardo  Quintero 


07/10/2005  Planes  de  recuperation  ante  desastres 

Los  recientes  incidentes  provocados  por  los  desastres  naturales,  especialmente  el  huracan  Katrina,  han 
puesto  de  manifiesto  lo  importante  que  resulta  disponer  de  un  buen  plan  de  continuidad  en  las  empresas 
cuyos  procesos  criticos  reposan  en  sistemas  de  la  information. 

Es  frecuente  que  muchas  organizaciones,  desde  pequenas  cuentas  a  las  mas  grandes  corporaciones,  no 
contemplen  este  tipo  de  planes,  o  los  eludan  en  su  puesta  al  dia  por  el  simple  hecho  de  que  en  las  zonas 
de  operation  no  sean  frecuentes  o  sean  poco  probables  eventos  indeseables  que  pudieran  tumbar  nuestro 
despliegue  informatico,  como  podrian  ser  los  desastres  naturales  o  los  ataques  terroristas.  Muchas  veces, 
una  copiosa  lluvia  puede  dejarnos  sin  actividad,  y  en  lo  referente  al  factor  humano,  un  boicot  interno  o  la 
action  vandalica  de  un  ladron  podrian  ser  suficientes  para  paralizar  la  actividad  de  nuestra  empresa. 

Tambien  se  considera  error  pensar  solo  en  grandes  desastres  como  fuentes  de  la  ruptura  de  la  continuidad: 
huracanes,  tsunamis,  terremotos,  inundaciones  ...  son  sin  duda  aspectos  a  considerar,  pero  no  menos 
importantes  son  otros  problemas  no  naturales  que  podrian  dejar  en  el  dique  seco  nuestras  operaciones. 
Incrementos  de  la  tension  electrica,  derrames  quimicos  y/o  toxicos  en  entornos  industrials,  0  la  simple 
action  humana  pueden  poner  en  jaque  nuestra  capacidad  de  operar,  tal  y  como  explicabamos  en  el  parrafo 
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En  sistemas  de  la  information,  la  estrategia  mas  habitual  de  recuperacion  es  aquella  que  implica  el 
levantamiento  de  una  replica  de  la  infraestructura  en  otro  sitio,  alejado  del  emplazamiento  habitual, 
donde  haya  podido  acontecer  el  desastre.  Asi  hablamos  de  sitios  calientes,  templados,  frios  y  sitios  espejo 
calientes.  Hay  otra  estrategia  importante,  que  es  la  relativa  a  la  perdida  del  personal,  pero  esa  esta 
vinculada  a  la  gestion  de  recursos  humanos,  con  lo  que  no  entraremos  en  ella.  Tampoco  diferenciaremos 
entre  sitios  remotos,  proximos  o  instalaciones  de  recuperacion  internas,  quedando  esta  election  a  criterio 
de  los  responsables  implicados. 

Los  sitios  frios  son  los  indicados  para  sistemas  con  alta  tolerancia  a  la  indisponibilidad,  cuando  la 
recuperacion  se  puede  restablecer  en  dos  o  tres  dias.  Los  sitios  templados  estan  indicados  para  tolerancias 
de  uno  o  dos  dias,  y  los  calientes  son  aquellos  emplazamientos  cuya  tolerancia  ante  la  indisponibilidad  es 
muy  limitada,  requiriendose  una  recuperacion  total  en  el  plazo  de  cuatro  a  24  horas.  Los  sitios  calientes 
tipo  espejo  son  los  indicados  para  tolerancia  cero  ante  los  tiempos  de  recuperacion,  y  por  tanto,  funcionan 
de  un  modo  paralelo  entrando  en  action  inmediatamente  despues  de  que  el  centro  de  datos  principal  haya 
colapsado.  Son  por  tanto,  sistemas  redundantes. 

Recuperarse  ante  un  desastre  no  es  facil.  Una  vez  que  hemos  salvaguardado  los  datos,  toca  decidir  en  que 
orden  vuelven  a  la  normalidad  los  procesos  abatidos.  Normalmente,  los  procesos  que  mas  rentabilidad 
ofrecen  son  los  que  deberian  ser  activados  primero,  si  bien  el  orden  de  la  recuperacion  varia  sustancialmente 
en  funcion  de  muchos  parametros. 

Otra  tarea  comun  es  la  recuperacion  de  las  lineas  de  contacto  y  de  servicio  a  los  clientes,  la  cual  bviamente 
es  vital.  La  telefonia  o  los  sistemas  de  atencion  online  a  la  clientela  deben  ser  rapidamente  levantados,  por 
motivos  obvios. 

Para  elaborar  un  plan  de  recuperacion  no  existe  una  metodologia  fija.  Cada  cuenta  es  independiente  de 
las  demas  en  cuanto  a  sus  requisites  de  recuperacion  y  los  impactos  que  la  discontinuidad  puede  tener  en 
sus  operaciones.  No  obstante,  es  frecuente  contemplar,  al  menos,  estos  ocho  pasos  0  fases  de  alto  nivel  a  la 
hora  de  establecer  una  estrategia  de  recuperacion  ante  desastres: 

1)  Initialization  del  plan.  Es  el  punto  de  comienzo,  donde  deberian  definirse  la  meta  del  plan  y  los  objetivos 
especificos  que  sean  necesarios. 

2)  Gestion  del  riesgo  y  evaluation  de  los  potentiates  emergencias.  La  unica  manera  de  poder  ordenar 
adecuadamente  los  procesos  de  recuperacion  es  ordenando  previamente  los  desastres  que  podemos 
sufrir,  asi  como  la  evaluation  de  los  mismos  en  terminos  de  discontinuidad,  asi  como  su  impacto  tecnico- 
economico  en  la  organization. 

3)  Preparation  para  las  posibles  emergencias,  identificado  claramente  los  metodos  de  recuperacion  de 
copias  de  seguridad  y  otras  tecnicas  de  recuperacion  colaterales  que  pudieran  ser  necesarias. 

4)  Recuperacion  tras  los  desastres,  donde  deben  quedar  claramente  definidos  los  pasos  a  seguir  por  los 
equipos  de  recuperacion,  especialmente  en  los  casos  donde  haya  riesgo  de  perdida  de  vidas  humanas. 

5)  Recuperacion  del  negocio,  ya  que  una  vez  aplicado  el  plan  se  pretende  que  el  negocio  como  conjunto 
vuelva  a  la  normalidad. 

6)  Pruebas  del  proceso  de  recuperacion,  en  las  que  se  pueden  diagnosticar  fallos  y  corregir  deficiencias  en 
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las  fases  anteriores. 


7)  Entrenamiento  del  personal  para  el  proceso  de  recuperation,  ya  que  a  fin  de  cuentas,  el  personal  es  el 
que  ejecuta  los  planes. 

8)  Actualization  constante  del  plan  de  recuperation,  para  mantener  al  dia  los  procedimientos  establecidos, 
asi  como  la  lista  de  emergencias  potenciales  y  su  valoracion  probabilistica  de  riesgo. 

Los  planes  de  recuperation  son  un  enfoque  que  corrige  un  error  frecuente,  que  es  aquel  en  el  que  caen 
muchas  organizaciones  que  estiman  que  la  recuperation  consiste  unicamente  en  levantar  los  backups  y 
paliar  los  danos  en  infraestructura.  Son  sin  duda  factores  importantes,  pero  no  son  los  unicos. 

Y  para  veneer  las  reticencias  que  provoca  la  inversion  en  consultoria  y  mantenimiento  de  un  plan  de 
recuperation,  solo  hay  que  pensar  que  sucederia  si  usted  perdiera  todos  sus  activos  de  information  y  no 
tuviera  posibilidad  de  recuperarlos,  o  si  no  los  recuperase  a  tiempo,  o  si  al  recuperarlos  los  datos  no  fueran 
consistentes.  oMerece  la  pena? 

Sergio  Hernando 


Entrevista 


Mikel  Urizarbarrena  ha  montado  un  imperio  en  una  decada.  Desde  Lantek  en 
1986,  pasando  por  Eurosoft  en  1987  hasta  Panda  Software  a  principios  de  los  90, 
ahora  es  un  referente  en  cuestion  de  antivirus,  y  el  unico  100%  espanol.  Mikel  no 
es  solo  el  fundador  de  Panda  sino  un  emprendedor  nato  que  ha  sabido  enfrentarse 
ilusion. 

Hispasec:  iCual  y  como  fue  tu  primer  contacto  con  Hispasec?  (.Estas  suscrito  a  una-al-dia? 
fcDesde  cuando? 

Mikel  Urizarbarrena:  Creo  que  mi  primer  contacto  con  Hispasec  fue  a  raiz  de  una  comparativa  de 
anti-virus.  Por  cierto,  considero  aquella  comparativa  como  la  mas  seria  que  jamas  se  ha  realizado  a 
nivel  mundial.  Es  muy  dificil  que  alguien  dedique  tanto  esfuerzo  y  tiempo  a  hacer  una  comparativa  tan 
exhaustiva. 

Estoy  suscrito  a  una-al-dia  desde  junio  de  1999.  Es  una  forma  magnifica  de  estar  realmente  al  dia  en 
materia  de  seguridad  informatica.  iOs  felicito  por  estos  10  afios  de  magnifico  trabajo! 

H:  tSiempre  quisiste  tener  tu  propio  negocio?  tLlegaste  a  trabajar  para  terceros  o  en  otras 
empresas  antes  de  crear  Panda? 

MU:  Solo  trabaje  para  terceros  mientras  estudiaba.  Una  vez  que  finalice  mis  estudios  de  ingenieria,  me 
incorpore  a  una  incubadora  de  empresas  (Saiolan)  y  pronto  cree  Lantek  Informatica  Tecnica,  empresa 
dedicada  al  desarrollo  de  Software  de  Diseno  y  Fabrication  asistida  por  ordenador  (CAD/CAM).  En  1987 
funde  EUROSOFT  con  la  vocation  de  modernizar  la  ensenanza  y  la  gestion  de  las  autoescuelas  mediante 
herramientas  informaticas... 
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H:  El  emprendedor,  tnace  o  se  hace?.  Tres  claves/consejos  que  darias  a  un  futuro 
emprendedor. 

MU:  Es  posible  que  algunos  nazcan,  pero  creo  que  la  mayoria  de  los  emprendedores  nos  hacemos  dia  a 
dia. 

Estoy  convencido  de  que  todos  somos  emprendedores  en  potencia.  Por  eso  mi  mensaje  a  los  potenciales 
emprendedores  es  que  “el  hambre  agudiza  el  ingenio  y  que  se  pueden  crear  empresas  con  poco  dinero.  Que 
lo  verdaderamente  importante  es  querer  hacerlo,  descubrir  necesidades  y  formas  eficaces  de  satisfacerlas 
y  abordar  el  proyecto  sin  miedo  a  fracasar”. 

Para  mi  emprender  es,  por  encima  de  todo,  una  actitud  que  hace  que  todo  sea  mas  divertido  e  incluso 
apasionante.  Personalmente  creo  que  los  buenos  emprendedores  son  gente  sencilla,  humilde,  apasionados 
por  lo  que  hacen,  muy  trabajadores,  y  con  una  enorme  curiosidad;  estan  interesados  en  las  cosas,  mas  que 
ellos  mismos  tratando  de  ser  interesantes. 

Mis  tres  claves  sedan  las  siguientes:  (1)  lanzate  a  hacer  realidad  tu  sueno  sin  pensartelo  demasiado,  (2) 
corrige  el  rumbo  tan  pronto  como  detectes  las  necesidades  exactas  que  buscan  tus  clientes,  y  (3)  persevera 
y  no  te  amedrentes  con  las  dificultades.  Creo  que  el  resto  de  ingredientes,  incluyendo  la  “suerte”,  aparecen 
en  escena  cuando  has  hecho  lo  anterior. 

H:  fcCuantas  horas  de  media  trabajas  al  dia?  f.Haces  ejercicio?  e'.Hobbies? 

MU:  Trabajo  unas  10  6 12  horas  diarias,  pero  aunque  pueda  sonar  a  bastante,  me  divierto  con  lo  que  hago, 
porque  hago  lo  que  quiero,  asi  que  mas  que  trabajo,  en  realidad  se  trata  de  juego  y  diversion.  Si,  hago 
ejercicio.  Me  encanta  el  deporte  y  aunque  ya  no  corro  maratones  y  ultra-maratones  como  hace  unos  anos, 
si  que  me  pego  algunas  palizas  corriendo.  Tambien  juego  al  paddle,  practico  tiro  con  arco  y  hago  trecking. 
Tambien  tengo  otras  grandes  pasiones:  la  naturaleza,  viajar,  todo  lo  etnico... 

H:  tCuando  y  como  nace  la  idea  de  desarrollar  un  antivirus? 

MU:  Fue  por  casualidad.  En  1989  uno  de  los  programadores  de  EUROSOFT  (la  empresa  dedicada  a  software 
para  auto-escuelas)  me  mostro  un  virus  y  la  verdad  es  que  la  “criatura”  me  fascino.  Inmediatamente  nos 
pusimos  manos  a  la  obra  para  crear  ARTEMIS  anti-virus.  Aquella  ia  version  que  presentamos  en  el  otono 
de  1990  era  eficaz,  al  tiempo  que  divertida:  incluia  una  animation  cuando  “mataba”  al  “bicho”... 

H:  tRecuerdas  cuantos  virus  aproximadamente  detectaba  vuestra  primera  version  de 
antivirus  y  cuantas  personas  formabais  Panda?  6Y  actualmente? 

MU:  Si,  recuerdo  perfectamente  que  Artemis  1.0  era  capaz  de  reconocer  42  virus.  Eramos  solo  4  personas, 
incluyendo  a  mi  mujer,  Berta,  que  se  ocupaba  de  los  temas  administrativos  y  financieros.  Hoy  detectamos 
mas  de  tres  millones  de  ejemplares  y  el  grupo  Panda  esta  compuesto  por  mas  de  1.000  personas  en  56 
paises  de  todo  el  mundo. 

H:  fcAlguna  anecdota  virica  de  aquellos  primeros  anos? 

MU:  Muchisimas.  Aparte  de  los  anti-telefonica  y  demas  virus-protesta,  recuerdo  una  curiosa.  En  los  inicios 
modificabamos  algunos  virus,  eliminandoles  las  acciones  destructivas,  para  poder  probar  la  capacidad  de 
detection  “en  vivo”  de  los  productos,  sin  correr  riesgos  de  transmision  accidental.  Uno  de  estos  virus  era 
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el  “Cascade”,  tambien  llamado  “Falling  letters”.  “Cascade”  era  popular  porque  provocaba  que  todas  las 
letras  que  habia  en  la  pantalla  cayeran  progresivamente  hacia  la  parte  inferior  de  la  misma,  donde  se 
acumulaban. 

Pues  bien,  recuerdo  que  los  tecnicos  pusieron  este  “Cascade”  inofensivo  en  el  PC  de  una  secretaria,  justo 
cuando  teniamos  una  visita  importante.  Eramos  pocos  y  estabamos  en  una  sala  grande.  La  secretaria 
alucinaba  cuando  las  letras  empezaron  a  caer...  Ella  penso  que  estaba  infectada  y  no  le  parecio  muy 
conveniente  mostrar  que  “estabamos  infectados”  y  se  callo.  Paso  un  mal  rato. 

H:  En  estos  ultimos  10  anos,  1998-2008,  icomo  has  visto  la  evolucion  de  la  industria  de  los 
antivirus?  tCuales  han  sido  los  principales  cambios  y  retos? 

MU:  Como  bien  sabes,  en  el  frente  del  malware  hemos  pasado  de  autores  que  buscaban  “fama”  a  verdaderos 
criminales  con  motivaciones  claramente  economicas.  Asi,  hemos  pasado  de  los  virus  locales  de  comienzos 
de  los  90,  a  las  epidemias  masivas  de  finales  de  los  90  y  comienzos  del  2000,  y  a  la  larga  cola  de  millones 
de  bichos  creados  con  fines  economicos:  robo  de  secretos  industriales  y  otros  datos  confidenciales;  robo 
de  credenciales  de  cuentas  bancarias;  secuestro  de  information;  etc.  Esto  constituye  un  autentico  ataque 
de  denegacion  de  servicios  contra  los  laboratories  de  las  empresas  de  seguridad,  ya  que  debemos  analizar 
varios  miles  de  “bichos”  al  dia,  cuando  no  hace  mucho  eran  solo  unas  pocas  decenas.  El  malware  de  hoy 
es  insidioso,  imperceptible;  a  veces  global,  y  otras  muy  local,  afectando  solo  a  los  clientes  de  una  region, 
o  a  los  clientes  de  un  determinado  servicio;  a  veces  efimero,  otras  disenado  para  permanecer  anos  sin 
ser  detectado...  El  verdadero  reto  ha  sido  y  es,  hoy  mas  que  nunca,  proteger  contra  lo  desconocido,  y  eso 
requiere  un  acercamiento  estrategico  y  tecnologico  muy  innovador.  En  Panda  hemos  apostado  siempre 
por  ello,  y  asi  hemos  creado  tecnologias  pro-activas  eficaces,  como  Tru-prevent®. 

H:  A  dia  de  hoy  los  anti-virus  han  pasado  a  ser  un  “anti-todo”,  verdaderas  suites  de  seguridad 
que  van  mas  alia  de  la  deteccion  de  todo  tipo  de  malware,  con  la  integracion  de  firewall, 
antispam,  antiphishing,  antidialers,  etc.,  lo  que  tambien  ha  traido  un  mayor  consumo  de 
recursos  en  los  sistemas  y  en  ocasiones  una  mayor  interaction  con  el  usuario,  quien  debe 
tomar  decisiones  a  peticion  de  la  suite.  f.No  se  esta  “engordando”  demasiado  la  solucion? 
tDebe  ser  el  trabajo  de  la  suite  transparente  o  el  usuario  debe  tener  nociones  de  seguridad 
para  decidir  sobre  determinadas  acciones? 

MU:  Creo  que  es  responsabilidad  100%  delos  proveedores  de  seguridad  el  evitary  solucionar  los  problemas 
de  seguridad,  sin  crear  problemas  adicionales  a  los  usuarios,  y  no  siempre  ha  sido  asi.  Muy  claramente,  es 
labor  de  las  empresas  el  desarrollar  las  tecnologias  adecuadas  para  conseguirlo. 

Por  supuesto,  tambien  es  muy  recomendable  que  los  usuarios  tengan  unas  nociones  minimas  de  seguridad 
informatica,  de  la  misma  manera  que  todos  tenemos  ciertas  nociones  acerca  de  como  mantener  una  cierta 
seguridad  y  evitar  robos  y  demas  desastres. 

H:  Observamos  que  el  Panda  ThreatWatch,  el  indicador  de  riesgo  de  infection  que  aparece 
en  vuestra  Web,  lleva  muchos  meses  (o  incluso  mas  de  un  ano),  en  nivel  naranja-intermedio. 
Esa  situacion  se  repite  practicamente  en  todos  los  indicadores  del  resto  de  empresas 
de  seguridad.  Tras  la  decadencia  de  los  gusanos  de  propagacion  masiva  que  causaban 
pandemias  puntuales  y  la  aparicion  de  la  larga  cola  del  malware  (miles  de  variantes 
nuevas  cada  dia),  6sigue  teniendo  sentido  los  indicadores  de  riesgo  global?  <iC6mo  debemos 
informar  y  concienciar  al  usuario  de  los  peligros  reales  de  infeccion? 
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MU:  Tienes  razon,  estos  indicadores  no  son  muy  utiles  hoy  en  dia.  Se  da  la  paradoja  de  que  siendo  la 
situacion  mucho  mas  peligrosa  que  nunca  antes  en  la  historia,  el  usuario  no  lo  percibe  como  tal...  Vemos 
como  incluso  Inteco  tambien  comunica  sistematicamente  esta  dramatica  situacion  sin  que  el  mensaje  cale 
demasiado. 

Ahora  mismo  no  es  facil  informar  de  forma  creible,  porque  la  situacion  es  de  hecho,  increible.  Posiblemente 
lo  hayamos  hecho  mal  en  el  pasado  con  la  profusion  de  alertas  y  creo  que  es  humano  acabar  harto  de  tanto 
alarmismo.  A1  fin  y  al  cabo,  las  herramientas  son  sobre  todo,  para  usarse. 

Creo  que  seria  mas  practico  formar  a  los  usuarios  en  las  nuevas  amenazas  mediante  elementos  multimedia, 
que  informar  una  y  otra  vez  de  todo  lo  nuevo  que  acontece.  Un  usuario  formado,  sera  seguramente  tambien 
un  usuario  informado. 

H:  Siguiendo  con  las  herencias  del  pasado,  la  mayoria  de  certificaciones  y  algunas 
comparativas  se  basan  en  la  lista  in-the-wild  (los  virus  mas  extendidos).  c'.Tienc  sentido 
mantener  esa  lista  y  seguir  utilizandola  como  patron  de  las  evaluaciones  antivirus?  A 
grandes  rasgos,  tcomo  deberian  evolucionar  las  certificaciones  y  comparativas? 

MU:  Tal  y  como  funciona  la  lista  in-the-wild  hoy  en  dia  tiene  una  utilidad  escasa.  En  el  pasado  ha  sido 
un  instrumento  muy  util  tanto  para  usuarios  como  para  desarrolladores,  pero  se  ha  quedado  obsoleta 
y  ha  sido  ampliamente  superada  por  la  situacion  del  malware.  Como  decia  antes,  hoy  en  dia  el  malware 
es  imperceptible  e  insidioso,  y  muchas  veces  tambien  efimero,  dejando  de  funcionar  en  pocas  horas.  Al 
mismo  tiempo  hemos  asistido  a  una  gran  proliferation  de  troyanos  e  incluso  rootkits,  y  estos  no  aparecen 
reflejados  en  la  lista  in-the-wild.  A  mi  modo  de  ver  esto  requiere  que  la  lista  in-the-wild:  (1)  pase  de  ser  una 
lista  de  virus,  a  una  lista  de  malware,  y  (2)  que  se  actualice  practicamente  en  tiempo  real.  Desde  2006,  en 
Panda  venimos  luchando  por  conseguirlo,  promoviendo  la  elaboration  entre  los  diversos  agentes  publicos 
y  privados.  No  es  un  tema  sencillo,  pero  puede  y  debe  hacerse. 

Tanto  las  certificaciones,  como  las  comparativas,  deberian  estar  disenadas  para  proporcionar  a  los 
usuarios  una  garantia  de  si  el  producto  en  cuestion  puede  protegerle  adecuadamente  0  no  frente  al  malware 
en  circulation  en  ese  momento.  Esto  deberia  ser  monitorizado  continuamente,  de  forma  que  se  vea  la 
evolution  de  la  protection  que  ofrece  cada  producto  y  fabricante.  Esto  requiere  un  esfuerzo  enorme,  pero 
no  seria  posible  hacerlo  sin  tener  un  muestreo  en  tiempo  real  de  que  malware  esta  afectando  realmente  a 
los  usuarios  de  cada  region.  Creo  que  tenemos  que  comenzar  por  ahi. 

H:  En  los  ultimos  tiempos  han  existido  cambios  importantes  en  Panda,  especialmente  con 
la  entrada  de  fondos  de  inversion  al  accionariado.  fcCual  es  tu  puesto  y  funcion  actualmente 
en  Panda? 

MU:  Tras  la  entrada  de  los  fondos  de  inversion  en  la  compania  mi  position  paso  a  ser  la  de  Presidente  del 
Consejo  de  Administration.  Colaboro  en  la  planeacion  de  la  estrategia  del  grupo. 

H:  Al  margen  de  tu  trabajo  en  la  industria  de  la  seguridad,  <.a  que  dedicas  mas  tiempo 
ultimamente? 

MU:  Hace  tres  anos  inicie  una  start-up  en  el  campo  de  la  semantica.  Estamos  a  punto  de  lanzar  las  primeras 
soluciones.  Tambien  estoy  arrancando  una  Empresa  social  que  tiene  que  ver  con  crear  puestos  de  trabajo 
en  paises  en  vias  de  desarrollo.  A  nivel  mas  personal  acabo  de  tener  un  hijo  y  esperamos  incrementar  la 
familia  con  un  par  de  ninos  adoptados. 
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H:  fcCual  es  el  sitio  mas  interesante  en  el  que  has  estado  por  trabajo?  r.y  por  hobby? 

MU:  Por  trabajo,  en  el  Silicon  valley.  Es  un  hervidero  de  pasion  y  actividad  creativa.  Por  hobby,  la  selva 
centro-africana  donde  viven  los  pigmeos  baka.  Tal  vez  para  no  olvidar  las  raices...  Me  apasiona  ese 
contraste  entre  lo  mas  avanzado  y  lo  mas  primitivo. 

H:  El  ultimo  libro  que  has  leido 

MU:  “Un  mundo  sin  pobreza”  de  Muhammad  Yunus.  Me  ha  llamado  poderosamente  la  atencion  su  concepto 
de  “Empresa  Social”:  una  empresa  mercantil  que  debe  generar  beneficio  que  se  reinvierte  totalmente  en 
su  finalidad,  exclusivamente  social. 

H:  iComo  te  ves  dentro  de  diez  anos? 

MU:  Hace  ya  muchos  anos  tome  la  firme  decision  de  que  cuando  fuera  mas  mayor  diria  que  hice  esto  y  que 
me  salio  bien;  tambien  que  hice  esto  otro  y  no  me  salio  tan  bien;  pero  me  jure  a  mi  mismo  que  no  diria,  ni 
pensaria  “si  hubiera  hecho”  o  “pude  hacer,  pero...”  Nada  de  lamentos,  ni  “sies”  condicionales... 

Espero  sentirme  muy  satisfecho  de  haber  hecho  todo  lo  que  estuviera  a  mi  alcance  en  esos  to  anos.  Tambien 
espero  tener  proyectos  ambiciosos  y  que  me  llenen  para  los  to  anos  siguientes... 
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Durante  este  ano... 


_  El  1  de  enero  entra  en  vigor  en  Espana  la  nueva  ley  antitabaco,  que  impide  fumar 
en  la  mayoria  de  sitios  publicos  que  no  posean  una  infraestructura  adecuada  ni  en  los 
lugares  de  trabajo. 


2006 


_  En  Sidney,  Australia,  se  llega  el  1  de  enero  a  los  45  grados  centigrados,  su  dia  mas  caluroso  hasta  la 
fecha. 


_  Se  establece  que  el  3  de  enero  de  2006  internet  alcanza  los  mil  millones  de  usuarios  en  todo  el 
mundo. 


_  Aunque  es  identificada  por  primera  vez  en  Italia  a  principios  del  siglo  XX  ,  se  comienza  a  crear  histeria 
en  todo  el  mundo  a  raiz  de  ciertos  brotes  aislados  de  gripe  aviar  en  Europa,  Medio  Oriente  y  Africa.  Las 
noticias  provocan  un  dramatico  descenso  de  consumo  de  productos  avicolas.  Se  establecen  restricciones 
en  el  comercio  y  caen  los  precios.  Tiene  suficiente  potencial  como  para  infectar  a  distintas  especies  de 
mamiferos,  como  por  ejemplo  el  cerdo  y  el  gato,  pero  se  cree  en  principio  que  es  imposible  o  muy  improbable 
la  transmision  entre  humanos,  necesitando  contacto  directo  con  las  aves  para  su  contagio.  Sin  embargo  en 
junio  se  comprobaria  un  caso  real  de  transmision  del  virus  entre  personas. 

_  Finaliza  con  exito  la  mision  espacial  de  la  NASA  que  pretendia  recoger  polvo  espacial  de  un  cometa. 


En  febrero  se  desata  la  polemica  sobre  las  caricaturas  de  Mahoma  expuestas  en  un 
periodico  danes.  El  mundo  islamico  protesta  energicamente  contra  la  reproduccion  en 
diarios  europeos  de  dibujos  y  caricaturas  del  profeta,  por  considerarlas  ofensivas.  Las 
doce  caricaturas  de  Mahoma  que  inician  el  grave  conflicto  diplomatico  son  publicadas 
por  el  diario  danes  Jyllands-Posten  y  reproducidas  por  otros  periodicos  de  Europa  en  los 
dias  siguientes.  Los  paises  islamicos  prohiben  la  venta  de  los  diarios  donde  hayan  sido 
publicadas.  En  uno  de  los  dibujos  aparece  Mahoma  vistiendo  un  turbante  con  forma  de 
bomba  clasica  con  la  mecha  encendida.  En  otra  vineta,  un  cuadro  de  dialogo  asegura  que 
se  esta  quedando  sin  virgenes.  El  diputado  independiente  holandes  Geert  Wilders  sube  a 
su  pagina  web  las  polemicas  caricaturas  sobre  Mahoma.  Califica  de  “muy  preocupante” 
que  los  dibujos  desataran  la  ira  entre  los  musulmanes.  Las  publica  para  mostrarsu  apoyo  a 
sus  creadores.  Como  resultado  es  amenazado  de  muerte  por  integristas. 


_  El  3  de  febrero  la  Frikipedia  es  retirada  temporalmente  de  Internet  tras  una  denuncia  de  la  SGAE.  La 
“Frikipedia”  nace  como  una  parodia  de  la  Wikipedia.  Entre  sus  definiciones,  se  incluye  una  ironica 
description  de  la  Sociedad  General  de  Autores  y  Ejecutantes  (SGAE).  Pero  segun  Pedro  Farre,  director  de 
Relaciones  Institucionales  de  la  SGAE,  constituye  una  “clamorosa  difamacion”.  A1  recibir 
la  demanda,  el  autor  de  la  web  la  cierra  y  pide  ayuda  economica  a  la  comunidad  internauta, 
s  '  1  para  sufragarse  un  abogado.  Mas  de  200  webs  secundan  una  sonora  campana  de  apoyo. 
14  ®  r  /  Entre  los  internautas  y  la  SGAE  se  tensa  aun  mas  si  cabe  la  relation.  Aparecen  pintadas 
FilklPEPi/l  ofensivas  en  la  fachada  de  la  sede  de  la  entidad.  Un  programador  descubre  que  el  sistema 
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de  envio  de  comentarios  de  la  web  de  la  SGAE  tiene  un  filtro  que  bloquea  palabras  “malsonantes”:  “Linux” 
entre  ellas.  Es  un  pequeno  escandalo  en  la  comunidad  de  Internet.  Farre  lo  califica  de  “anecdota  ridicula” 
y  continua:  “Hace  cinco  anos,  cuando  hicimos  este  filtro,  Linux  se  asociaba  a  movimientos  alternatives  y  a 
insultos.  Olvidamos  retirarla,  pero  se  retirara”.  La  demanda  contra  la  Frikipedia  tambien  seria  retirada. 

_  La  Wikipedia  en  ingles  edita  su  articulo  numero  1.000.000. 

_  En  marzo  se  encuentra  muerto  a  Slobodan  Milosevic  en  su  celda  de  la  prision  del  Tribunal  Penal 
Internacional.  Era  juzgado  en  La  Haya  por  crimenes  de  guerra  y  genocidio  por  su  responsabilidad  en  los 
tres  conflictos  de  los  Balcanes  (Croacia,  Bosnia  y  Kosovo)  durante  toda  la  decada  de  los  90  y  que  causaron 
mas  de  200.000  muertos.  El  juicio  comenzo  en  febrero  de  2002  y  habia  sido  interrumpido  en  numerosas 
ocasiones  por  los  problemas  de  salud  del  acusado.  Pasaria  a  la  historia  como  el  primer  ex  Jefe  de  Estado 
que  comparecia  ante  un  tribunal  internacional. 

_  ETA  anuncia  un  alto  el  fuego  permanente  a  partir  del  dia  24  de  marzo  de  2006.  Son  momentos 
de  esperanza  para  la  paz.  Sin  romper  oficialmente  el  alto  el  fuego,  el  30  de  diciembre  de  ese  mismo  ano 
haria  estallar  un  artefacto  en  el  aparcamiento  de  la  Terminal  4  del  Aeropuerto  de  Barajas  de  Madrid.  En 
junio  de  2007  se  romperia  la  tregua  oficialmente  en  un  comunicado  publicado  en  la  pagina  web  del  diario 
Berria.  Los  terroristas  argumentarian  que  “no  se  dan  las  condiciones  minimas  para  seguir  con  un  proceso 
de  negotiation”  y  que  el  Gobierno  de  Zapatero  “ha  respondido  al  paron  de  las  acciones  armadas,  con 
detenciones,  torturas  y  persecuciones”. 


_  Durante  el  verano,  Fidel  Castro  delega  el  poder  en  su  hermano  Raul.  Castro 
se  encuentra  en  un  delicado  estado  de  salud.  Incluso  se  rumorea  que  podria  estar 
muerto.  Apareceria  varias  semanas  despues  con  su  famoso  chandal.  Se  enviarian 
posteriormente  por  email  varias  oleadas  que  contienen  bulos  sobre  videos  y  noticias 
de  su  muerte,  que  esconderian  en  realidad  malware. 

_  Despues  de  algunas  detenciones  en  Londres,  relacionadas  con  terroristas  que  pretendian  viajar  desde 
esta  ciudad  hacia  los  Estados  Unidos,  los  liquidos  y  geles  se  prohiben  en  el  equipaje  de  mano  de  los 
vuelos  comerciales. 

_  En  agosto,  y  mas  de  70  anos  despues  de  ser  descubierto,  Pluton  es  degradado  de  “planeta”  a  “planeta 
enano”  por  la  asociacion  internacional  de  astronomia  en  su  vigesimosexta  asamblea  general. 

_  El  23  de  agosto  encuentran  sana  y  salva  a  Natascha  Kampusch,  desaparecida  en  marzo  de  1998  en 
extranas  circunstancias  y  con  solo  10  anos  de  edad.  Durante  su  secuestro  vivio  en  un  zulo  a  2,5  metros 
de  profundidad  y  solo  5  metros  cuadrados,  sin  luz  natural  en  el  sotano  de  la  casa  de  su  raptor  Wolfgang 
Priklopil.  Tenia  “permisos”  ocasionales  para  salir  al  jardin.  Al  parecer  Priklopil  la  educo  durante  ese  tiempo. 
Amenazaba  a  Kampusch  con  matar  a  quien  pidiera  ayuda  0  suicidarse  si  escapaba.  Natascha  huye  durante 
una  de  sus  salidas  del  zulo  y,  antes  de  que  lo  encuentren,  Priklopil  se  suicida  saltando  a  las  vias  de  un  tren. 
Natascha  se  convierte  en  un  fenomeno  mediatico.  Se  abre  una  cuenta  para  financiar  el  tratamiento  de  sus 
traumas  y  comienza  a  ofrecer  entrevistas  millonarias,  que  se  supone  dona  a  instituciones  caritativas. 

_  El  3  de  septiembre  la  seleccion  espanola  de  baloncesto,  sin  poder  contar  con  Pau  Gasol  lesionado  en  la 
semifinal,  gana  el  campeonato  del  mundo  contra  Grecia,  en  un  comodo  partido  que  termina  70  a  47.  En  la 
semifinal  habia  vencido  a  Argentina  gracias  a  un  apretado  74  a  75. 
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El  10  de  octubre  Google  compra  YouTube  por  1.650  millones  de  dolares.  Google  Video 
es  un  fracaso,  no  consigue  ni  la  popularidad  ni  las  funcionalidades  tecnicas  que  han 
hecho  de  YouTube  un  fenomeno  social.  YouTube  habla  nacido  apenas  ano  y  medio  antes, 
en  febrero  de  2005  y  en  cuestion  de  meses  se  convierte  en  una  marca  mundialmente 
reconocida  en  la  web,  que  no  deja  de  innovar  e  incluir  nuevas  funcionalidades.  Chad 
Hurley  y  Steve  Chen  emiten  a  traves  de  su  pagina  un  video  en  el  que,  de  forma  informal, 
se  muestran  exultantemente  alegres  ante  la  compra. 


_  El  28  de  octubre  Television  Espanola  celebra  los  50  anos  del  comienzo  de  sus  emisiones  en  Espana, 
y  una-al-dia,  su  octavo  cumpleanos. 

_  Estados  Unidos  llega  a  los  300  millones  de  habitantes. 

_  En  octubre  Microsoft  publica  Windows  Internet  Explorer  7.  Han  pasado  5  anos  exactos  desde  la 
aparicion  de  la  version  anterior.  La  guerra  de  navegadores  ha  comenzado  hace  tiempo  y  Microsoft  decide 
trabajar  en  un  producto  que  tenia  desastrosamente  abandonado.  Ofrece  por  fin  caracteristicas  programadas 
en  otros  navegadores  desde  hace  anos,  como  la  navegacion  por  pestanas  o  lector  RSS  integrado.  Llega  en 
un  momento  en  el  que  practicamente  todos  los  navegadores  se  ven  afectados  de  una  manera  u  otra  por 
distintas  vulnerabilidades. 

_  El  3  de  noviembre  la  revista  Science  predice  que  el  90%  de  las  formas  de  vida  maritimas  estaran 

extinguidas  en  el  2048. 

_  El  30  de  noviembre  sale  Windows  Vista  para  ser  comprado  por  licencias  de  distribuidores. 

_  El  30  de  diciembre  Saddam  Hussein  es  ahorcado  en  Baghdad.  Las  imagenes  de  su  ejecucion  son 
recogidas  por  un  telefono  movil  y  distribuidas  por  las  redes  P2P. 

_  Ese  mismo  dia  tiene  lugar  el  atentado  en  el  aeropuerto  de  Madrid-Barajas.  ETA  hace  estallar 
una  bomba  en  el  aparcamiento  “C”  en  la  Terminal  4  de  Barajas.  El  resultado  es  de  19  heridos  leves  y  dos 
ciudadanos  de  nacionalidad  ecuatoriana  fallecidos.. 


Seguridad  Informatica 


Microsoft  publica  un  aviso  de  seguridad  donde  confirma  la  existencia  de 
la  vulnerabilidad  WMF  (Windows  Meta  File)  en  Windows.  El  fallo  permite  la 
ejecucion  de  codigo  de  forma  transparente  y  con  solo  visitor  una  pagina  web.  Esta  siendo 
aprovechado  activamente  para  infectar  los  sistemas  de  forma  masiva.  Practicamente 
todas  las  versiones  de  Windows  se  ven  afectadas.  Aparecen  todo  tipo  de  exploits  mas 
potentes,  capaces  de  presentarse  bajo  otros  formatos  de  imagenes  (jpg,  gif...)  y  generar 
codigo  polimorfico  que  dificulta  su  deteccion  generica  por  parte  de  los  antivirus,  IDS,  y 
resto  de  soluciones  basadas  en  firmas.  Se  popularizan  los  correos  que  incorporan  una 
imagen  especialmente  manipulada  que  aprovecha  el  fallo,  pretendiendo  felicitar  el 
nuevo  ano.  La  fecha  oficial  en  la  que  Microsoft  pensaba  publicarsus  parches  es  el  10  de 
enero,  mas  de  una  semana  despues  de  la  deteccion.  En  ese  tiempo  la  situacion  podria 
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volverse  insostenible.  Ilfak  Guilfanov,  autor  del 
popular  desensamblador  IDA,  publica  un  parche 
no  oficial  que  soluciona  el  fallo.  Su  web  hexblog. 
com  se  ve  completamente  saturada  ante  la 
avalancha  de  descargas  y  permanece  inactiva 
durante  varias  horas.  Steve  Gibson  insinua  que  el 
problema  es  tan  absurdo  y  Neva  ah!  desde  hace 
tanto  tiempo,  que  podria  ser  intencionado. 

Ante  las  presiones,  Microsoft  publica  un  parche 
fuera  de  su  ciclo  habitual  de  actualizaciones  los 
segundos  martes  de  cada  mes,  y  el  dfa  5  aparece 
la  solucion  oficial.  Esta  actualizacion  soluciona  el 
problema  de  la  ejecucion  de  codigo,  pero  no  el  de  denegacion  de  servicio.  Distintas 
versiones  del  parche  solucionarfan  por  completo  este  gravlsimo  incidente. 


_  El  19  de  enero  se  cumplen  20  anos  de  la  aparicion  del  virus  Brain,  primer  ejemplar  para  la  plataforma  PC. 
Antes  de  ese  Brain,  en  noviembre  de  1983,  Fred  Cohen  acuno  el  termino  “virus”  y  demostro  empiricamente 
lo  que  todos  temian  e  intuian:  efectivamente,  como  muchos  habian  estudiado  teoricamente,  se  podia  crear 
codigo  que  atacara  a  otros  programas  modificandolos,  y  a  la  vez  fuese  capaz  de  auto-replicarse.  Cohen 
presento  el  codigo  del  experimento  en  su  doctorado  para  la  Universidad  del  Sur  de  California  y  demostro 
al  mundo  que  este  comportamiento  era  posible  en  un  programa  implementandolo  en  una  maquina  Vax 
(bajo  Unix).  El  programa  creado  podia  hacerse  con  los  derechos  de  los  archivos  del  sistema  en  menos  de 
una  hora,  con  un  tiempo  record  de  cinco  minutos.  El  hecho  causo  tanto  miedo  que  se  prohibieron  este 
tipo  de  practicas,  pero  la  curiosidad  y  fascination  crecia  en  los  nuevos  informaticos,  que  comenzaron  a 
experimentar  con  nuevos  “programas”  y  los  recien  estrenados  sistemas.  Nacian  los  primeros  virus. 


_  Se  detecta  un  troyano  que  se  distribuye  por  correo  basura,  simulando 
provenir  de  VirusTotal.  Esta  dirigido  a  usuarios  brasilenos.  La  excusa 
esta  vez  es  avisarles  de  que  estan  infectados  con  un  virus,  W32.Jeefo@ 
mm,  y  ofrecer  un  enlace  para  que  se  descargue  una  vacuna  generica  para 
desinfectarse  (que  en  realidad  es  el  troyano).  Una  vez  mas  se  aprovecha  la 
imagen  de  una  reputada  web  para  dar  confianza  a  las  victimas. 

_  En  febrero  se  detecta  la  distribution  por  todo  el  mundo  de  un  nuevo 
gusano,  que  debido  a  los  textos  que  incluye  recibe  el  imaginative  nombre  de 
“Kama  Sutra”.  A  pesar  de  ser  “otro  mas”  de  los  gusanos  que  aprovechan 
la  ingenieria  social  para  infectar  a  sus  victimas,  consigue  una  cobertura 
importante  en  medios  especializados.  El  autor  del  virus  consigue  con  creces 
lo  que  probablemente  pretender  la  atencion  incondicional  de  los  medios,  miles  de  noticias  escritas  sobre 
el  y  la  inquietud  de  muchos  usuarios  horas  antes  del  dia  3  de  febrero,  supuesto  momento  de  activation  de 
su  codigo  maligno.  Una  vez  infecta  el  sistema,  intenta  desactivar  el  funcionamiento  de  diversos  productos 
antivirus,  recoge  direcciones  de  correo  en  el  ordenador  de  la  victima  para  distribuirse  por  e-mail  utilizando 
su  propio  motor  SMTP,  y  tambien  intenta  distribuirse  a  traves  de  los  recursos  compartidos.  Lo  que  provoca 
que  se  le  tome  en  cuenta  es  que  los  dias  3  de  cada  mes  el  gusano  sobreescribe  (que  no  borra)  archivos  con 
extensiones  .doc,  .xls,  .mdb,  .mde,  .ppt,  archivos  comprimidos  con  .zip  y  .rar,  .pdf,  .psd  y  .dmp.  Destruye 
documentos  muy  valorados  por  todo  tipo  de  usuarios  y  que  suelen  contener  information  importante  para 
su  trabajo,  estudios  0  cualquier  otra  actividad.  Hoy  en  dia,  pocos  son  los  virus  que  se  dedican  a  destruir 


De:  "info@virustotal.com' 


Detectamos  que  seu  e-mail  esta  enviando  mensagems 
contaminadas  com  o  virus  W32.Jeefo@mm 
Uma  variante  do  virus  W32  Jeefo@mm. 


O  worm  W32.Jeefo@mm  6: 

Uma  variante  do  virus  W32.Jeefo@mm. 

Um  worm  de  distribuigSo  em  massa  que  tambem  se  propaga 
atraves  dos  compartilhamentos  de  rede. 

Polimorfico  e  tambem  infecta  uma  lista  seleta  de  arquivos 
executdveis. 

Apropria-se  das  atividades  de  teclado  e  possui  capacidades 
de  backdoor. 

T enta  finalizar  os  processos  de  varios  programas  antivirus  e 

Atualizaglo  Para  todas  as  VersSes  de  Antvirus. 

Acabe  com  este  problema  agora  totalmente  "gratis" 


Baixe  j£  a  vacina  para  eliminar  esse  virus  de  seu  sistemal 
>>>B.fllxe-Aaui.!<<< 
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de  alguna  forma  el  sistema  en  el  que  se  han  alojado.  Otro  detalle  que  lo  lleva  a  ser  tan  popular  es  el  exotico 
nombre  adoptado  por  algunas  casas  antivirus  para  diferenciarlo.  No  ha  existido  un  consenso  claro,  y, 
entre  otros,  al  virus  se  le  ha  llamado  Nyxem,  BlackMal,  Kapser,  MyWife,  Tearec...  pero  “Kama  Sutra”  ha 
resultado  ganador  en  los  medios  no  especializados,  y  eso  que  “Kama  Sutra”  era  simplemente  uno  de  las 
decenas  de  asuntos  que  aparecian  en  los  correos  infectados.  El  sexo  siempre  sera  un  reclamo  facil  para 
intentar  que  usuarios  despistados  ejecuten  archivos  que  vienen  de  fuentes  no  confiables,  y  esta  vez  no  es 
una  exception. 

_  El  14  de  febrero  algunos  empleados  de  la  compama  “The  Trainning  Camp”  entregan  en  mano,  a 
viandantes  que  acudian  a  su  lugar  habitual  de  trabajo,  un  CD  bajo  la  excusa  de  que  el  disco  contenia 
information  sobre  una  promotion  especial  motivada  por  el  dia  de  San  Valentin.  Los  compactos  contienen 
en  realidad  un  simple  codigo  que  permitia  informar  a  la  compama  de  quien  habia  ejecutado  el  programa 
en  su  interior.  Entre  ellos  se  encontraba  personal  de  grandes  bancos  y  aseguradoras  multinacionales.  Lo 
mas  grave  es  que  en  la  caratula  del  CD  se  advertia  claramente  sobre  los  peligros  de  la  instalacion 
de  software  de  terceros  no  confiables,  y  de  que  el  hecho  de  hacerlo  podria  suponer  una  violation  de  las 
politicas  de  seguridad  del  lugar  donde  se  instalase. 

_  Durante  febrero  y  marzo,  escalonadamente,  Hispasec  se  muda  a  unas  oficinas 
mas  grandes,  cerca  de  su  sede  anterior.  Las  vistas  son  envidiables. 


Un  equipo  de  investigation,  apoyandose  en  computacion  distribuida, 
consigue  descifrar  un  mensaje  de  un  total  de  tres  que  llevan  mas  de  6 
en  la  oscuridad  al  estar  cifrados  con  una  variante  de  la  maquina  Enigma.  Fueron 
interceptados  en  el  Atlantico  Norte  en  1942.  64  anos  despues  comienzan  los  resultados 
tangibles  en  las  labores  de  descifrado.  Este  legendario  aparato  se  caracterizo  por  poder 
cifrary  descifrar  mensajes  de  forma  robusta,  siendo  totalmente  transportable.  Dotada  de 
una  serie  de  rotores  mecanicos,  Enigma  comenzo  a  comercializarse  en  la  decada  de  los 
anos  20,  aunque  fue  el  uso  intensivo  que  le  dieron  desde  la  Alemania  Nazi  el  factor  que  la 
covirtio  en  un  instrumento  muy  conocido,  por  las  evidentes  implicaciones  historicas  del  uso 
belico  de  la  maquina.  La  version  militar,  llamada  Wehrmacht  Enigma,  fue  protagonista, 

durante  la  Segunda  Guerra  Mundial,  de  una  encarnizada 
lucha  por  parte  de  criptoanalistas  aliados  para  descifrar 
los  mensajes  capturados.  La  revelacion  de  ULTRA  (nombre 
codigo  asignado  a  los  resultados  del  descifrado  de  las 
comunicaciones  alemanas)  es  considerada  hoy  en  dia  un 
factor  critico  para  acelerar  el  fin  de  la  guerra  en  un  periodo 
estimado  de  uno  a  dos  anos.  Muchas  comunicaciones  de  la 
inteligencia  alemana  fueron  capturadas  y  descifradas  por 
los  aliados,  lo  que  segun  los  historiadores,  otorgo  significativas 
ventajas  en  la  estrategia  militar  del  conflicto.  Muy  poco 
despues  se  descifraria  el  resto  de  mensajes. 


anos 


_  Se  sufre  una  pequena  epidemia  de  Commwarrior  en  Espana.  Muchos  usuarios  reciben  a  traves  de 
bluetooth  malware  que  afecta  a  los  mas  avanzados  moviles  de  marca  Nokia. 

_  En  marzo  “Guillermito”  pierde  finalmente  la  apelacion  en  el  juicio  con  Tegam.  Es  obligado  a  pagar 
15.000  euros.  Tras  no  pocas  vicisitudes,  el  7  de  junio  de  2005  la  justicia  francesa  condeno  a  Guillaume  al 
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pago  de  14.300  euros.  En  realidad  la  cantidad  es  minima  en  comparacion  con  la  petition  de  la  acusacion, 
900.000  euros,  que  consideraban  era  solo  el  10%  de  los  danos  reales  que  habian  sufrido.  Guillaume 
ironizaba  con  el  hecho  de  que  supuestamente  habria  hecho  perder  9  millones  de  euros  a  una  empresa  cuyo 
volumen  de  negocio  en  2003  era  de  1.4  millones  de  euros.  Guillaume  T.  comenta  “No  se  tiene  derecho  en 
Francia  a  demostrar  tecnicamente  que  un  programa  informatico  presenta  vulnerabilidades  de  seguridad 
o  que  su  publicidad  es  falsa.  Duerman  tranquilos,  ciudadanos,  todos  sus  programas  informaticos  son 
perfectos”.  En  Francia  esta  prohibido  solicitar  dinero  para  pagar  una  multa  asi  que  Guillaume,  que  no 
dispone  de  tal  cantidad,  pide  a  la  comunidad  donaciones  para  comprar  “un  antivirus  nuevo”.  Mediante 
una  campana  de  donaciones  a  traves  de  PayPal  se  recauda  con  creces  la  cifra  necesaria.  El  remanente  seria 
destinado  a  caridad. 

_  Karpersky  anunciaba  una  prueba  de  concepto  capaz  de  infectar  tanto  a  sistemas  operativos  Windows 
de  Microsoft  como  GNU/Linux  en  general.  Lo  llama  Virus.Linux.Bi.a/Virus.Win32.Bi.a,  y  vuelve 
a  alertar  sobre  la  posibilidad  de  que  el  mercado  de  los  virus  se  abra  para  ambas  plataformas.  Bastante 
inofensivo,  solo  se  extiende  sobre  los  archivos  en  el  directorio  donde  se  haya  ejecutado,  no  causa  dano 
alguno  y  no  se  autopropaga  a  otros  sistemas.  Su  peculiaridad  es  que  es  capaz  de  infectar  dos  tipos  de 
ejecutables  distintos,  los  PE  (Portable  Executable)  que  son  los  ejecutables  que  usa  Windows,  y  los  ELF 
(Executable  and  Linkable  Format)  que  es  el  formato  estandar  binario  para  Linux. 

_  El  21  de  abrilnaceelblogespecifico  de VirusTotal.  Sepublicaran  anuncios  denuevasfuncionalidades, 
motores,  y  noticias  del  sector  en  general. 


Es  un  ano  de  importantes  cambios  para  VirusTotal.  A 

mediados  de  2006  ya  procesa  el  millon  de  muestras 
mensuales  recibidas  de  forma  sostenida.  Esto  requiere 
un  aumento  y  modificacion  de  infraestructura  interna, 
ademas  de  una  ampliacion  importante  de  los  recursos 
utilizados  por  el  servicio  en  si.  Tambien  se  facilita  el  uso 
porweb.  El  funcionamiento  original  consistia  en  dejara  la 
espera  al  usuario  para  presentar  los  resultados  completos 
una  vez  se  habia  terminado  de  hacer  el  analisis.  El  nuevo 
interfaz  de  respuestas  es  mucho  mas  informativo  en  la 
fase  previa,  dando  desde  la  posicion  en  la  cola  de  espera  hasta  tiempos  estimados  para 
el  comienzo  del  analisis.  Una  vez  en  fase,  los  resultados  presentados  por  los  motores  se 
dan  en  tiempo  real.  El  nuevo  interfaz  web  ofrece  informacion  extra  al  usuario,  incluye 
hashes  del  archivo  analizado,  empaquetadores  detectados  por  algunos  de  los  motores,  y 
el  resultado  de  la  Sandbox  de  Norman  en  caso  de  detecciones  heuristicas.  Estos  datos  son 
muy  apreciados  por  usuarios  avanzados  del  servicio  que  buscan  un  mayor  detalle  sobre  la 
muestra  analizada.  La  demanda  se  multiplica  porcinco  desde  principios  de  2005.  En  esos 
momentos  el  numero  de  muestras  analizadas  en  el  servicio  rondaba  las  20.000  diarias,  a 
finales  de  2008  se  esta  sosteniendo  la  cifra  de  60.000  analisis  al  dia. 


_  En  mayo  Steve  Wiseman  descubre,  casi  por  casualidad,  una  importante  vulnerabilidad  en  VNC.  Se 
trata  de  un  software  de  administration  remota  muy  usado  en  distintos  sistemas  operativos  que  permite 
interactuar  con  el  escritorio  de  cualquier  sistema.  El  fallo  puede  hacer  que  se  eluda  de  forma  sencilla 
la  autenticacion  y  acceder  al  equipo  con  el  servidor  instalado  sin  necesidad  de  conocer  la  contrasena. 
Aparecen  numerosas  herramientas  que  permiten  escanear  la  red  en  busqueda  de  versiones  vulnerables. 
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Entrar  en  sistemas  remotos  se  convierte,  durante  algunas  semanas,  en  un  juego  de  ninos. 

_  Aunque  Yahoo,  AOL  y  Microsoft  junto  con  el  gobierno  del  Reino  Unido  anunciaron  en  2003  una 
estrategia  disenada  para  combatir  el  spam  tanto  de  forma  conjunta  como  por  separado,  la  basura 
sigue  creciendo.  Establecerian  estandares  tecnicos  para  combatir  la  amenaza  e  intentarian  promover 
nuevas  leyes  que  perseguirian  y  castigarian  de  forma  mas  severa  a  los  infractores.  Desde  entonces, 
exceptuando  casos  mas  0  menos  sonados,  el  envio  de  correo  basura  sigue  siendo  algo  poco  perseguido.  Las 
leyes  dejan  de  ser  eficaces  en  el  momento  en  el  que  enviar  spam  puede  ser  una  actividad  descentralizada, 
llevada  a  cabo  desde  cualquier  punto  del  planeta  contra  cualquier  pais,  delegada  en  millones  de  maquinas 
secuestradas  y  encubiertas  bajo  direcciones  falsas.  La  situacion  era  mas  preocupante  hace  algun  tiempo. 
En  diciembre  de  2002  se  anunciaba  ya  que  el  40%  de  los  correos  que  circulaban  por  Internet  eran  basura. 
En  junio  de  2003  se  llegaba  a  la  salomonica  situacion  de  un  50%  de  correo  inutil  entre  todo  el  trafico 
circulante.  Ryan  Hamlin,  jefe  del  grupo  antispam  de  Microsoft,  declaraba  por  aquellas  fechas  que  las 
nuevas  medidas  legales  que  se  estaban  disenando,  provocarian  un  ligero  descenso  de  esta  tendencia 
para  finales  de  2004  o  comienzos  de  2005.  En  2006  llega  a  mas  del  60%.  Anos  mas  tarde  se  frenaria  la 
velocidad  de  subida  (mas  que  nada  por  las  cifras  que  se  estan  alcanzando)  pero  la  tendencia  sigue  siendo 
al  alza,  llegando  a  picos  del  80  y  90%  de  basura  en  todo  el  correo  mundial  recibido. 

_  Durante  todo  el  verano  se  encuentran  numerosas  vulnerabilidades  “o  day” 
en  productos  de  Microsoft  Office.  Se  detectan  ataques  que  aprovechan 
vulnerabilidades  desconocidas  publicamente  y  para  las  que  no  existe  parche.  Se 
trata  de  fallos  que  permiten  atacar  cualquier  sistema,  puesto  que  la  deteccion 
por  parte  de  las  casas  antivirus  de  este  tipo  de  documentos  infectados  es  escasa. 

Al  contrario  que  la  mayoria  del  malware,  que  suele  ser  generico  y  lanzado 
indiscriminadamente  contra  cualquiera  que  posea  un  sistema  desprotegido,  se  popularizan  las  amenazas 
directas  a  companias  que  reciben  este  intento  de  infection.  Se  trata  de  ataques  perpetrados  especialmente 
contra  ellos.  No  se  sabe  durante  cuanto  tiempo  han  podido  aprovechar  estos  fallos.  A  razon  de  casi  una  o 
dos  vulnerabilidades  por  mes  en  Word,  Excel  o  PowerPoint,  es  un  verano  negro  para  Office.  Ademas,  los 
ataques  con  nuevos  fallos  se  detectan  muy  poco  tiempo  despues  del  segundo  martes  de  cada  mes,  con  lo 
que  habitualmente  es  necesario  esperar  casi  todo  un  mes  para  que  Microsoft  cumpla  su  siguiente  ciclo  de 
actualizaciones  y  poder  estar  protegido.  Se  observa  un  claro  cambio  de  tendencia  en  la  forma  en  la  que 
aparecen  estos  problemas,  unida  a  una  obsesiva  y  oportunista  fijacion  contra  este  software  de  Microsoft. 

_  En  mayo  se  empiezan  a  conocer  las  mejoras  de  seguridad  que  incluiria  Windows  Vista,  como  por 
ejemplo  que  implementara  ASLR  (Address  Space  Layout  Randomization)  activado  de  serie.  En  la 
beta  2  de  Windows  Vista  se  incluye  una  nueva  funcionalidad  destinada  a  prevenir  la  ejecucion  de  codigo 
no  deseado  en  el  sistema  a  traves  de,  habitualmente,  desbordamientos  de  memoria  intermedia.  Cuando 
ocurre  un  desbordamiento  de  memoria,  el  espacio  de  direcciones  de  memoria  del  sistema  operativo  se 
corrompe  de  alguna  forma.  Si  un  atacante,  a  traves  de  cualquier  vulnerabilidad,  es  capaz  de  sobrescribir 
ciertos  valores,  puede  tomar  el  control  del  sistema  y  hacer  que  se  ejecute  cualquier  parte  de  la  memoria 
(con  el  codigo  que  contenga).  Es  habitual  que  los  atacantes  “se  ayuden”  de  ciertas  direcciones  de  memoria 
conocidas  para  poder  “saltar”  en  el  espacio  de  memoria  y  ejecutar  su  codigo  inyectado.  Estas  direcciones 
coinciden  habitualmente  con  las  librerias  basicas  del  sistema  operativo,  que  son  siempre  cargadas  en  el 
mismo  espacio  de  memoria.  Asi  los  exploits,  programados  con  una  direction  concreta,  funcionan  siempre 
en  las  mismas  versiones  de  Windows,  pues  saben  exactamente  donde  ir  para  poder  ser  ejecutados  porque 
los  procesos  principals  siempre  se  cargan  en  el  mismo  espacio.  Esta  facilidad  para  predecir  las  direcciones 
comunes  es  precisamente  el  punto  que  ataca  ASLR.  Cada  vez  que  se  arranca  el  sistema  el  metodo  se  ocupa 
de  cargar  las  areas  criticas  del  sistema  en  espacios  mas  0  menos  aleatorios,  de  forma  que  no  pueden  ser 
predichas  de  forma  sencilla.  Al  menos,  un  atacante  tendria  que  probar  un  numero  significativo  de  valores 
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(hasta  256)  para  poder  acertar  con  la  direction  adecuada.  Incluso  asi,  este  valor  no  seria  el  mismo  en 
cualquier  otro  sistema  Windows  Vista,  por  lo  que  un  sistema  automatizado  de  ataque  (por  ejemplo  un 
gusano)  tendria  que  adivinar  en  cada  sistema  atacado  la  direction  concreta.  Durante  la  Black  Hat  de 
2008,  se  demostraria  un  metodo  para  saltarse  esta  y  otras  medidas  de  seguridad  de  Vista. 

_  En  junio  se  da  a  conocer  que  HP  ha  hospedado  en  su  pagina  web,  durante  un  tiempo  indefinido,  uno 
de  sus  controladores  de  impresora  infectado  por  FunLove,  un  virus  de  2001.  BitDefender  alerta 
de  la  situation  y  HP  se  ve  obligada  a  retirar  de  sus  servidores  un  controlador  para  la  impresora  de  HP 
“Officejet  g85  All-in-One”  en  su  version  coreana  para  Windows  95/98  por  contener  el  virus  FunLove.  A1 
parecer  HP  tropieza  en  la  misma  piedra,  pues  ya  sufrio  la  embestida  de  este  virus  anteriormente,  y  fue 
distribuido  tambien  con  una  version  japonesa  de  uno  de  sus  controladores.  Un  ano  despues  (en  2002),  a 
Microsoft  le  paso  exactamente  lo  mismo...  incluso  con  el  mismo  virus  FunLove. 

_  Joanna  Rutkowska  presenta  a  mediados  de  2006  su  Blue  Pill  y  causa  un  gran  revuelo  y  confusion. 
Rutkowska,  experta  en  rootkits,  aprovecha  una  nueva  funcionalidad  de  los  procesadores  AMD  para  crear 
un  rootkit  indetectable  en  cualquier  sistema  operativo.  AMD  incluye  una  tecnologia  llamada  SVM/Pacifica 
destinada  a  optimizar  la  virtualization  a  bajo  nivel  desde  el  procesador.  Forma  parte  de  los  Athlon  64  y 
Turion  64  bits.  Rutkowska  crea  una  prueba  de  concepto  que  demuestra  que  cualquier  sistema  operativo 
que  use  este  hardware  tiene  un  serio  problema:  el  software  puede  asumir  un  rol  llamado  “hypervisor”.  Este 

concepto  se  refiere  a  un  nivel  superior  incluso  al  supervisor,  que  es  el  nivel  al  que 
corre  el  sistema  operativo.  Por  hacer  una  comparacion,  VMware  corre  a  un  nivel 
hypervisor,  mayor  incluso  que  el  sistema  operativo  que  aloja.  Esto,  trasladado 
al  hardware,  hace  que  cualquier  sistema  operativo  pueda  tener  un  rootkit 
indetectable.  Las  pruebas  que  realiza  Joanna  son  sobre  Windows  Vista  (en  beta 
en  ese  momento).  Invalida  logicamente  la  medida  de  prevention  de  Vista  64  bits 
que  impide  que  en  el  kernel  se  ejecute  software  no  firmado  digitalmente.  Los 
medios  creen  erroneamente  por  tanto,  que  solo  afecta  al  sistema  de  Microsoft. 

_  HD  Moore  tiene  una  ocurrencia  imitada  hasta  la  saciedad.  “El  mes  de  los  fallos  en...”  Durante 
todo  julio,  se  dedica  a  publicar  una  vulnerabilidad  al  dia,  referente  a  los  navegadores  y  desconocidas 
hasta  el  momento.  La  idea  tiene  tanto  exito  que  seria  copiada  durante  meses.  Se  piensa  que  el  fallo  que 
corresponde  con  el  dia  17  de  julio  (como  la  mayoria)  es  una  denegacion  de  servicio.  Hubo  que  esperar  al 
27  de  septiembre  para  que  alguien  hiciese  publica  una  forma  de  aprovecharlo  para  ejecutar  codigo  y  se 
convirtiese  en  una  de  las  vulnerabilidades  mas  explotadas  del  momento. 


En  julio  la  companfa  SoftScan  publica  un  estudio  sobre  el  correo.  Los  cinco  primeros  puestos 
de  familias  de  virus  en  junio  y  su  porcentaje  de  presencia  en  correos  infectados  es: 


El  primer  puesto  lo  ocupan  los  virus  (o  malware  en  general)  destinados  al  phishing.  En  esta 
categorfa  se  englobaria  todo  tipo  de  codigo  destinado  a  robar  credenciales  bancarias, 
ya  sea  registrando  teclas,  robando  informacion,  enganando  al  usuario...  pero  siempre 
desde  el  punto  de  vista  de  la  rentabilidad  y  el  lucro.  Nada  menos  que  casi  la  mitad  del 
malware  que  circula  en  junio  corresponde  a  este  tipo  de  basura. 
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_  En  julio  se  anuncia  que  Microsoft  compra  Syslnternals.  Historicamente  se  trata  de  herramientas 
tecnicas  para  Windows  muy  populares  y  usadas  por  especialistas:  monitores  de  comportamiento  de 
archivos,  de  registro,  un  excelente  explorador  de  procesos,  y  un  largo  etcetera.  Mark  Russinovich,  creador 
de  Syslnternals  (que  parecia  conocer  la  programacion  de  Windows  mejor  que  los  propios  desarrolladores 
oficiales)  pasa  a  la  plantilla  de  Microsoft.  Syslnternals  ofrecia  no  solo  las  herramientas  sino  tambien  su 
codigo  fuente.  Se  especula  sobre  la  desaparicion  de  las  herramientas  y  la  pagina  sufre  una  avalancha  de 
visitas  buscando  un  codigo  que  se  supone  desaparecera.  Microsoft  seguiria  ofreciendo  de  forma  gratuita 
las  herramientas,  y  su  desarrollo  continuaria  adelante,  ya  sin  ofrecer  ademas  el  codigo  fuente. 

_  En  agosto  un  banner  de  publicidad  alojado  en  MySpace  consigue  infectar  a  mas  de  un  millon  de 
usuarios  de  Windows  gracias  a  una  vulnerabilidad  para  la  que  existia  parche  desde  enero  de  2006.  MySpace 
no  tiene,  en  principio,  responsabilidad  directa  sobre  el  incidente.  El  malware  se  ejecuta  sin  permiso,  a 
traves  de  la  vulnerabilidad  WMF,  parcheada  por  Microsoft  en  enero  de  2006.  Bernardo  Quintero,  en 
septiembre  de  2005,  ya  analizo  una  situation  parecida,  en  la  que  una  publicidad  en  la  pagina  de  la  tira 
comica  de  Dilbert  intentaba  infectar  con  el  adware  Winfxer  2005. 

_  Durante  la  DefCon  de  este  ano  Collin  Mulliner  demuestra  que  es  posible  desarrollar  un  gusano  que 
infecte  los  dispositivos  moviles  basados  en  Windows  CE  de  forma  automatica  y  transparente,  sin 
la  necesidad  de  que  el  usuario  intervenga.  La  prueba  de  concepto  es  posible  gracias  a  una  vulnerabilidad 
en  el  procesamiento  de  mensajes  MMS  (Multimedia  Messaging  Service). 

_  En  VirusTotal  se  detectan  varios  troyanos  que  realizan  un  video  de  la  pantalla  del  usuario 

mientras  este  se  autentica  para  entrar  en  su  cuenta  bancaria  por  Internet.  Esta  funcionalidad  representa 
un  salto  cualitativo  en  la  peligrosidad  de  los  troyanos  bancarios,  y  en  especial  contra  los  teclados  virtuales 
implantados  por  muchas  entidades.  Como  suele  ocurrir  cuando  una  medida  de  seguridad  como  los  teclados 
virtuales  se  generaliza,  no  tardan  en  aparecer  troyanos  bancarios  que  burlan  este  tipo  de  protection.  Desde 
aquellos  que  directamente  se  inyectan  en  el  navegador  y  capturaban  el  usuario  y  contrasena  antes  de  que 
sean  enviados  por  HTTPS  al  servidor  de  la  entidad,  hasta  los  que  fueron  programados  especificamente 
contra  los  teclados  virtuales  y  se  activan  al  hacer  click  con  el  raton,  almacenando  la  position  del  cursor  o 
realizando  pequenas  capturas  de  pantalla.  Hispasec  publica  un  popular  video  demostracion  que  obtiene 
una  gran  repercusion. 

_  En  septiembre,  se  descubre  que  el  SMiShing  llega  a  Espana.  Panda  alerta  a  finales  de  agosto  de  un 
nuevo  virus  que  se  distribuye  a  traves  de  correo  electronico  y  convierte  a  los  sistemas  infectados  en  equipos 
zombi.  Las  victimas  no  reenvian  correos  electronicos,  sino  mensajes  cortos  a  moviles  espanoles. 

_  El  dia  19  de  septiembre  Symantec  anuncia  una  nueva  vulnerabilidad  desconocida  en  PowerPoint 
que  permite  la  ejecucion  de  codigo  arbitrario  y  que  esta  siendo  activamente  aprovechada.  Ante  la  avalancha 
de  este  tipo  de  noticias  que  azotan  a  Microsoft  ese  verano,  todo  apunta  a  que  se  trata  de  un  nuevo  “o 
day”,  vulnerabilidad  sin  parche  explotada  de  forma  masiva.  En  esta  ocasion  las  alarmas  suenan  de  forma 
precipitada,  y  sobre  todo,  antes  de  un  buen  analisis  del  problema. 

_  Ante  tanto  “0  day”,  se  popularizan  los  parches  no  oficiales  para  Microsoft.  Se  descubre  una 
vulnerabilidad  basada  en  la  funcionalidad  VML  (Vector  Markup  Language)  del  navegador  Internet 
Explorer  que  permite  la  ejecucion  de  codigo  con  solo  visitar  una  pagina.  Necesita  soluciones  porque 
esta  siendo  aprovechada  de  forma  masiva.  Un  grupo  de  reputados  expertos  (entre  los  que  se  encuentra 
Ilfak  Guilfanov,  programador  del  exitoso  primer  parche  no  oficial  para  la  vulnerabilidad  WMF  )  crea  la 
organization  ZERT  (Zero  Day  Emergency  Response  Team).  Su  objetivo  desde  entonces  es  el  de  programar 
parches  para  solventar  problemas  de  seguridad  de  tipo  “o  day”  siempre  que  su  gravedad  lo  requiera.  ZERT 
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no  pretende  reemplazar  a  los  parches  oficiales.  Segun  ellos,  solo  ofrecen  una  alternativa  en  un  momento  de 
crisis.  El  dia  27  de  septiembre,  fuera  de  su  ciclo  oficial  de  actualizaciones,  Microsoft  publicaria  el  parche 
oficial  para  solucionar  definitivamente  la  vulnerabilidad. 

_  Hispasec  descubre  y  analiza  un  nuevo  troyano  bancario  dirigido  a  entidades  espanolas 
y  latinoamericanas,  que  combina  la  captura  del  teclado  fisico  con  una  tecnica  optimizada  para  los 
teclados  virtuales.  Esta  disenado  especificamente  contra  los  usuarios  de  diversas  entidades  de  Argentina, 
Bolivia,  Brasil,  Cabo  Verde,  Espana,  Estados  Unidos,  Paraguay,  Portugal,  Uruguay  y  Venezuela. 

_  Mischa  Spiegelmock  y  Andrew  Wbeelsoi  muestran  en  la  conferencia  ToorCon  una  vulnerabilidad  en 
Mozilla  Firefox  que  puede  permitir  a  un  atacante  remoto  ejecutar  codigo  arbitrario  en  el  contexto  del 
usuario  que  ejecutase  la  aplicacion,  independientemente  del  sistema  operativo  sobre  el  que  se  asiente. 
No  se  publican  mas  detalles  tecnicos  sobre  el  problema,  pero  la  revelation  de  los  descubridores  llama  la 
atencion  de  los  medios.  Poco  despues  los  propios  responsables  de  la  difusion  del  supuesto  fallo  confiesan 
que  querian  pasarselo  bien  y  sin  pruebas,  afirmaron  que  podrian  ejecutar  codigo  y  que  conocian  muchas 
otras  vulnerabilidades  no  reveladas.  Pura  fanfarroneria.  Snyder,  jefa  de  seguridad  de  Mozilla,  confirma 
que  la  denegacion  de  servicio  es  reproducible  en  base  a  la  information  aportada  por  los  dos  bromistas, 
pero  que  no  pueden  confirmar  la  ejecucion  de  codigo.  Ocurre  algo  parecido  a  principios  de  agosto,  cuando 
Jon  “Johnny  Cache”  Ellch  y  David  Maynor  quisieron  demostrar  en  una  presentation  en  Black  Hat  como 
colarse  en  un  Apple  Macbook  en  60  segundos  a  traves  de  sus  controladores  “wireless”.  Finalmente  todo 
resulta  una  gran  exageracion  y  la  demostracion,  aunque  vistosa,  no  era  del  todo  real.  En  resumen,  usaron 
otros  controladores  vulnerables  que  no  pertenecian  a  Apple. 

_  Microsoft  retira  el  galardon  MVP  a  un  programador  que  distribuia  software  espia.  MVP 

(Most  Valued  Professionals)  es  un  reconocimiento  anual  que  ofrece  Microsoft  a  miembros  destacados  de 
comunidades  que,  de  alguna  forma,  ayudan  a  mejorar  productos  Microsoft.  Se  basa  en  las  contribuciones 
realizadas  durante  el  ano  anterior  y  se  nombran  a  traves  de  un  periodo  de  nomination.  Tras  reconocer  que 
la  aplicacion  por  la  que  se  le  premiaba  se  distribuia  junto  con  un  programa  espia,  decide  retirarle  el  premio 
a  Cyril  Paciullo  (mas  conocido  como  Patchou)  creador  de  Messenger  Plus!.  El  programa  viene  integrado  en 
su  instalador  con  un  “patrocinador”  opcional  que  no  es  mas  que  un  simple  malware  espia. 

_  Oracle  anuncia  que  mejora  su  sistema  de  notificacion  de  alertas  de  seguridad,  anadiendo 
mas  information  a  la  description  de  las  vulnerabilidades.  Esto  responde  a  una  aclamada  demanda  por 
parte  de  administradores  de  sus  bases  de  datos,  que  sufrian  desde  hace  anos  un  confuso  sistema  trimestral 
de  parches  y  kilometricos  boletines.  Parece  que  Oracle  acaba  reconociendo  que  la  forma  en  la  que  venia 
describiendo  sus  problemas  de  seguridad  resultaba  manifiestamente  mejorable  y  decide  redisenar  su 
sistema  de  boletines  que  hasta  ahora  venia  siendo  poco  mas  que  un  jeroglifico.  Para  ello,  se  ayuda  de  CVSS 
(Common  Vulnerability  Scoring  System),  un  estandar  que  gradua  la  severidad  de  manera  estricta  a  traves 
de  formulas  establecidas.  De  esta  forma  los  administradores  conoceran  de  manera  objetiva  (a  traves  de  un 
numero)  la  gravedad  de  los  fallos.  CVSS  es  un  sistema  ya  usado  por  companias  como  Cisco,  Qualys,  Nessus 
y  Skype  que  basa  el  calculo  de  rango  de  criticidad  en  tres  puntuaciones:  Base  (a  su  vez  calculada  a  traves  de 
siete  factores),  temporal  (un  valor  calculado  a  partir  de  tres  factores)  y  ambiental  (a  traves  de  dos).  De  estos 
tres  factores  principales,  los  dos  ultimos  (temporal  y  ambiental)  pueden  modificar  y  corregir  el  primero  (la 
puntuacion  base)  segun  las  circunstancias  volatiles  de  la  vulnerabilidad.  Un  sistema  riguroso  y  objetivo 
que  espera  convertirse  en  el  estandar  de  calificacion  de  vulnerabilidades. 
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_  En  octubre  se  introducen  mas  y  mejores  novedades  en  VirusTotal  para 
hacer  frente  a  la  creciente  carga  de  trabajo  que  viene  soportando.  Aunque  a  nivel 
visualization  de  resultados  los  usuarios  no  notan  nada  nuevo,  si  percibiran  que  los 
tiempos  de  espera  para  las  peticiones  se  reducen  de  forma  sensible  respecto  a  lo 
experimentado  en  los  ultimos  meses.  En  un  periodico  economico  a  nivel  national, 
y  ante  la  noticia  de  la  mejora  en  VirusTotal,  deciden  que  nuestros  laboratories  son 
asi: 

_ Alan  Cox,  un  respetado  desarrollador  del  nucleo  de  Linux  y  actual  trabajador 

de  Red  Hat,  se  queja  de  la  autocomplacencia  del  mundo  del  codigo  abierto  con 
respecto  a  la  seguridad.  Advierte  de  que  mucho  codigo  abierto  esta  lejos  de  ser  seguro.  “Lo  que  aparece 
en  los  medios  de  comunicacion  como  que  el  codigo  abierto  es  seguro  y  mas  fiable  y  que  tiene  menos  fallos 
son  afirmaciones  muy  peligrosas”,  dice  Cox.  “Un  analisis  de  150  proyectos  de  SourceForge  (un  repositorio 
de  software  de  codigo  abierto)  no  obtendria  los  mismos  buenos  resultados  que  el  nucleo  de  Linux.  La  alta 
calidad  solo  se  aplica  a  algunos  proyectos,  los  que  tienen  buenos  autores  y  buenas  revisiones  de  codigo”. 
Alan  Cox  continua:  “El  debate  de  Microsoft  diciendo  “Mira  que  seguros  somos”  contra  Linux  afirmando 
“Nosotros  somos  mas  seguros”  no  se  esta  enfocando  en  los  puntos  importantes”. 


Hispasecampli'asu 
laboratorio  antivirus 


EMEUS  Todos  tos  pdigros  que  zcechan  detde  la  Red  so txenventdos  cn 
el  area  de  tmestigaoOn  de  la  firrm,  que  los  analiza  para  ofrecer  soluciones  a 
sus  dientes.  Su  capactdad  va  a  tripllcarse  con  un  nuevo  proyecto  de  l*D. 


LMH,  otro  investigador  relacionado  con  el  proyecto  Metasploit,  pone  en  marcha  en 
noviembre  la  iniciativa  “Month  of  the  kernel  bugs”.  La  idea  es  publicar  un  nuevo  error  en  el 
kernel  de  cualquier  sistema  operativo  durante  todos  los  dias  de  noviembre.  El  objetivo  es 
mostrar  herramientas  y  procedimientos  que  ayuden  a  mejorar  la  calidad  de  los  nucleos  de 
cualquier  sistema  operativo.  Una  de  las  herramientas  usadas  para  detector  estos  errores 
es  fsfuzzer,  un  programa  capaz  de  encontrar  fallos  en  una  gran  cantidad  de  sistemas  de 
ficheros,  ademds  de  otras  herramientas  destinadas  a  tantear  los  llmites  del  software  y  que 
se  desarrollan  dentro  del  proyecto  Metasploit. 

Finalmente,  se  descubren:  Once  fallos  en  la  rama  2.6.x  de  Linux,  la  mayoria  relacionados 
con  el  montaje  de  sistemas  de  ficheros.  Dos  fallos  en  el  nucleo  de  FreeBSD,  ambos  al  montar 
sistemas  de  ficheros  UFS.  Un  fallo  en  Solaris  10,  tambien  al  montar  sistemas  de  ficheros  UFS. 
Ocho  fallos  en  Mac  OS  X.  Entre  ellos  un  grave  problema  en  DMG,  formato  muy  comun  de 
instalacion  en  entornos  Mac.  Tres  fallos  en  controladores  NetGear,  dos  de  ellos  permitirfan 
la  ejecucion  de  codigo  arbitrario  a  nivel  de  kernel.  Un  fallo  en  controladores  D-Link,  que 
permitia  potencialmente  la  ejecucion  de  codigo.  Un  fallo  en  Microsoft  Windows,  que 
permitiria  provocar  una  denegacion  de  servicio  (pantallazo  azul)  o  escalar  privilegios  a 
traves  de  GDI  .  Dos  fallos  en  Apple  Airport,  y  un  fallo  en  controladores  inalambricos  de 
Broadcom.  Este  es  el  que  causa  mas  revuelo.  El  controlador  de  dispositivo  inalambrico 
Broadcom  (BCMWL5.SYS)  es  vulnerable  a  un  desbordamiento  de  memoria  intermedia 
basado  en  pila  que  permite  la  ejecucion  de  codigo  arbitrario  en  modo  nucleo.  Se 
proporciona  unido  a  los  sistemas  de  muchos  fabricantes  y  el  fallo,  con  exploit  publico, 
puede  ser  aprovechado  sin  interaccion  por  parte  del  usuario.  Para  colmo,  es  complicado 
delimitar  la  responsabilidad  de  publicar  un  parche. 


_  El  noviembre,  los  creadores  de  malware  aprovechan  de  nuevo  la  credibilidad  de  una  pagina  consolidada 
para  intentar  infectar  a  usuarios  de  sistemas  Windows.  En  la  Wikipedia  alemana  se  inserta  un  articulo 
fraudulento  sobre  el  famoso  gusano  Blaster  que  enlazaba  a  la  descarga  de  un  malware  que  pretende  ser 
una  solution  para  una  ficticia  nueva  variante. 
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_  Bernardo  Quintero  descubre  sin  querer  una  pequena  denegacion  de  servicio  en  Opera  9.02 
bajo  Windows  (navegador  al  que  se  aficiona  tras  la  insistencia  de  Sergio  de  los  Santos).  A1  visitar  la 
direction  “http:///”,  se  provoca  una  denegacion  de  servicio  que  consume  los  recursos  del  procesador.  Seria 
solucionado  poco  despues  por  los  programadores  del  navegador. 

_  Cesar  Cerrudo  emprende  una  nueva  campana  centrada  en  un  solo  producto:  La  semana  de  los  bugs 
en  Oracle  (“Week  of  Oracle  Database  Bugs”),  anunciada  para  principios  de  diciembre.  La  WoODB  pretende 
centrarse  en  la  publication  de  una  vulnerabilidad  0  error  por  dia  durante  una  semana,  caracterizadas  por 
no  tener  solution  oficial  y  ser  desconocidas  hasta  el  momento.  Su  creador  indica  que  bien  podrian  hacer 
“el  ano  de  los  fallos  en  Oracle”  sin  ningun  problema.  Anade  que  incluso  la  compania  miente  sobre  sus 
esfuerzos  de  seguridad.  Despues  de  alguna  que  otra  polemica,  y  por  intereses  no  desvelados  de  forma 
clara,  Cerrudo  abandonaria  la  iniciativa  poco  despues  sin  llevarla  a  cabo.  Meses  mas  tarde  publicaria 
otras  vulnerabilidades  para  Oracle  en  conferencias. 


_  Hispasec  detecta  un  phishing  a  Banesto  con  intento  de 
proteccion  anti-inyeccion.  Una  de  las  medidas  de  reaction 
contra  un  phishing,  ademas  de  la  obvia  de  cerrar  el  sitio  o  retirar  las 
paginas,  es  inyectar  basura  en  el  formulario.  La  idea  es  dificultar  a 
los  atacantes  el  poder  discernir  entre  los  datos  de  victimas  reales  y 
los  falsos  introducidos  por  una  herramienta  automatica.  Se  observa 
el  primer  phishing  que  se  vale  de  un  CAPTCHA  para  evitar  el 
envenamiento  del  canal  con  basura,  y  solo  obtener  datos  verdaderos 
de  victimas. 


_  A  finales  de  noviembre  se  descubre  una  vulnerabilidad  en  GnuPG  calificada  de  “obvia”.  Puede 
ser  aprovechada  por  atacantes  para  ejecutar  codigo  arbitrario  en  el  sistema  afectado.  El  descubridor 
califica  el  problema  de  “obvio”,  por  lo  que  no  se  explica  que  lleve  ahi  desde  hace  casi  8  anos. 


A  finales  de  2006,  Inteco  (Instituto  Nacional  de  Tecnologias  de  la  Comunicacion) 

comienza  el  estudio  sobre  la  incidencia  y  confianza  de  los  usuarios  de  Internet  espanoles. 
Se  basa  en  la  medicion  mensual  de  la  frecuencia  de  los  episodios  de  riesgo  individual 
en  una  muestra  amplia  de  mas  de  3.000  hogares  panelizados  online.  Basicamente,  los 
usuarios  instalan  voluntariamente  un  cliente  que  detecta  el  potencial  malware  en  el 
sistema,  contrastado  contra  la  base  de  datos  de  VirusTotal.  Hispasec  es  la  encargada  de 
desarrollarespecificamente  para  este  estudio  la  herramienta  iScan,  basada  en  microfirmas 
y  consultas  online  a  traves  de  Internet  para  la  identificacion  de  malware.  Se  trata  de  la 
primera  solucion  que  hace  uso  del  “cloud  computing”  en  la  deteccion  de  malware.  Esta 
tecnica  que  popularizaria  en  2008  de  la  mano  de  algunas  casas  antivirus,  aunque  fue 
desarrollada  sin  ser  conscientes  de  que  el  concepto  seria  tan  popular  dos  anos  despues. 
Pocos  meses  despues,  el  estudio  concluiria  que  el  70%  de  los  ordenadores  domesticos 
contiene  malware  o  programas  espia. 
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El  70%  de  los  ordenadores  domesticos  contiene  virus  o 
programas  espia 

Mas  de  la  mitad  del  'malware'  detectado  es  de  alto  riesgo  porque  puede  dafiar  los  equipos  o  derivar  en  un  engafio  o  fraude 
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El  estudio  muestra,  por  primera  vez,  los  habitos  que  afectan  a  la  seguridad  en  Internet: 
equipamiento  de  seguridad  en  los  hogares,  las  medidas  que  los  usuarios  toman  antes  y 
despues  de  las  incidencias  y  la  percepcion  relativa  a  la  seguridad  en  Internet  existente  en 
los  hogares  espanoles  Refleja  tambien  la  creciente  exigencia  por  parte  de  los  usuarios  a 
las  administraciones  publicas  de  que  “hagan  de  Internet  un  lugar  seguro”. 


Una  al  dia 


22/01/2006  250.000  maquinas  “zombies”  al  dia  en  diciembre 

Segun  un  estudio  que  podemos  ver  en  technewsworld.com,  en  el  ultimo  mes  se  han  batido  todas  las 
marcas.  En  diciembre,  hasta  250.000  ordenadores  al  dia  han  sido  infectados  por  algun  tipo  de  troyano 
que  permitia  controlarlos.  Hasta  siete  millones  y  medio  de  “zombies”  ese  mes  al  servicio  de  spammers, 
phishers,  virus,  y  demas  indeseables  de  Internet. 

250.000  “zombies”  al  dia  supone  un  incremento  de  un  50%  respecto  al  mes  anterior,  lo  que  no  es  poco.  Por 
paises,  estos  sistemas  se  distribuyen  asi: 

China:  17.10  % 

Estados  Unidos  de  America:  14.75  % 

Alemania:  8.57  % 

Francia:  5.61  % 

Espana:  4.37  % 

Corea:  4.35  % 

Brasil:  4.06  % 

Polonia:  4.05  % 

Japon:  3.92  % 

Reino  Unido:  3.32  % 

En  numeros,  nos  da  una  cifra  de  aproximadamente  330.000  ordenadores  secuestrados  en  diciembre  en 
Espana.  En  este  repunte  de  cifras  a  final  de  ano,  sin  duda,  han  tenido  mucho  que  ver  las  ultimas  variantes 
de  Sober  y  la  vulnerabilidad  WMF  de  Microsoft  Windows  como  causantes  del  robo  de  estas  maquinas. 

De  la  intention  del  reclutamiento  masivo  de  ordenadores  ya  se  ha  hablado  en  una-al-dia  anteriormente. 
Con  la  debida  coordination,  un  solo  “click”  del  programa  maestro  permite  ordenar  a  una  red  de  miles  de 
maquinas  ejecutar  una  misma  orden  de  ataque.  La  mayoria  de  usuarios  ni  siquiera  conoce  la  clandestina 
actividad  de  su  sistema  y  en  un  principio,  simplemente  suelen  percibir  cierta  merma  en  su  velocidad  de 
navegacion  y  proceso.  Las  maquinas  “zombie”  se  aglutinan  en  los  denominados  “botnets”,  anglicismo  que 
se  refiere  a  la  asociacion  en  red  (nets)  de  maquinas  autonomas  (bots,  apocope  del  termino  sajon  robots). 
Los  “botnets”  pueden  concentrar  un  gran  numero  de  maquinas  “zombie”  que  se  coordinan  para  gestionar 
el  envio  de  correo  basura,  pero,  sobre  todo,  suelen  ser  las  culpables  de  los  ataques  de  denegacion  de  servicio 
distribuido  (DDoS). 
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Hace  ahora  justo  un  ano,  se  publicaba  un  estudio  de  Honeynet.org,  especialistas  en  el  seguimiento  de  redes 
automatizadas  de  maquinas  comprometidas,  efectuado  entre  noviembre  de  2004  y  enero  de  2005.  En  el  se 
monitorizaron  mas  de  100  “botnets”  diferenciados,  alguno  de  ellos  con  mas  de  50.000  maquinas  “zombie” 
comprometidas.  Se  llegaron  a  censar  mas  de  226.000  direcciones  IP  distintas  por  canal  auditado,  lo  que 
nos  ofrece  una  idea  aproximada  de  la  magnitud  del  problema.  Un  ano  despues,  se  bate  record  de  maquinas 
infectadas  diariamente. 

?Que  potencia  se  puede  alcanzar  con  tal  ejercito  de  maquinas?  La  computacion  coordinada  es  muy 
importante  y  no  siempre  se  utiliza  con  fines  despreciables.  Segun  lo  que  se  ha  podido  conseguir  con  muchas 
menos  de  esas  250.000  maquinas  “zombies”  identificadas  diariamente  en  diciembre,  podremos  llegar  a 
hacernos  una  idea  del  problema  que  supone  para  la  seguridad  que  ciertos  irresponsables  controlen  a  su 
antojo  tal  cantidad  de  sistemas,  cada  uno  con  su  capacidad  de  proceso  y  con  su  ancho  de  banda  dispuestos 
a  ser  sacrificados  a  la  primera  orden. 

Un  ejemplo  de  computacion  coordinada  es  Distributed.net,  un  proyecto  destinado  a  comprobar  la  seguridad 
de  los  algoritmos  de  cifrado  mas  conocidos.  Voluntarios  prestan  de  forma  altruista  los  tiempos  “ociosos” 
de  sus  maquinas  para  procesar  datos  del  algoritmo  de  cifrado  elegido.  Mediante  un  sistema  distribuido 
donde  son  asignados  bloques  de  claves  a  cada  cliente  y  coordinadas  con  un  servidor,  se  intenta  por  fuerza 
bruta  averiguar  el  mensaje  cifrado  con  un  algoritmo  concreto. 

En  1999  se  propusieron  romper  un  mensaje  cifrado  con  el  algoritmo  RC5  de  64  bits  por  fuerza  bruta  y  les 
llevo  casi  cuatro  anos  probar  r5.769.938.r65.961.326.592  claves  para  finalmente  descubrirla  en  julio  de 
2002.  Desde  diciembre  de  ese  mismo  ano  intentan,  insistentemente,  descifrar  un  mensaje  cifrado  ahora 
con  RC5  de72.  bits,  lo  que  implica  probar  2  elevado  a  72  claves,  un  numero  de  22  cifras.  Para  el  primer 
desafio  contaron  “solo”  con  331.252  maquinas  de  todo  tipo  durante  todo  el  proceso.  Para  el  desafio  actual 
todavia  no  resuelto,  han  participado  ya  69.212  ordenadores. 

SETI,  o  la  Busqueda  de  Inteligencia  ExtraTerrestre,  es  un  esfuerzo  cientifico  que  trata  de  determinar 
si  hay  vida  inteligente  en  el  Universo.  Su  proyecto  mas  exitoso  es  SETI@Home,  al  igual  de  Distributed, 
net,  utiliza  sistemas  personales  conectados  a  Internet  para  analizar  la  increible  cantidad  de  information 
que  el  equipo  SETI  recibe  en  sus  radiotelescopios.  Las  senales  de  “ruido”  del  Universo  recibidas,  son 
codificadas  y  enviadas  por  paquetes  al  cliente.  Este  es  un  pequeno  programa  que  cada  usuario  mantiene 
voluntariamente  instalado  en  su  sistema.  Aprovecha  los  tiempos  muertos  para  analizar  y  procesar  los 
paquetes  y  son  devueltos  al  equipo  SETI  con  los  resultados.  La  probabilidad  de  que  un  ordenador  detecte 
el  murmullo  lejano  de  una  civilization  extraterrestre  es  minima,  pero  con  tal  capacidad  de  computacion 
unida,  las  posibilidades  aumentan. 

Seti@Home  cuenta  actualmente  con  unos  370.000  usuarios  registrados,  y  unas  750.000  maquinas  en 
todo  el  mundo.  En  Espana,  menos  de  9.000.  En  este  caso,  teniendo  en  cuenta  los  330.000  “zombies” 
detectados  en  nuestro  pais  en  diciembre,  son  mas  las  maquinas  que  tienen  programas  instalados 
clandestina  e  involuntariamente  que  de  forma  consciente,  y  mayores  los  recursos  invertidos  para  fines 
ilegales  y  prohibidos  que  para  proyectos  interesantes  y  altruistas. 

La  intensidad  de  los  ataques  perpetrados  por  redes  “zombies”  o  “botnets”,  es  poco  menos  que  incontenible. 
Unir  de  forma  coordinada  la  capacidad  de  proceso  y  “bombardeo”  de  cada  maquina,  puntando  su  caudal 
hacia  un  objetivo  fijo  y  determinado,  puede  terminar  por  consumir  los  recursos  de  las  redes  mas  anchas  y 
preparadas.  Si  estas  redes  de  “zombies”  se  emplean,  ademas,  para  el  envio  de  correo  basura,  el  resultado 
es  el  que  podemos  comprobar  cada  dia  en  las  casillas  de  correo  de  todos  los  usuarios  del  planeta:  miles  de 
millones  de  mensajes  inutiles  que  se  cuelan  en  nuestros  clientes,  (mas  los  miles  de  millones  ya  desechados 
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por  los  programas  anti-spam),  ademas  del  phishing  y  de  los  correos  infectados  por  virus.  En  gran  parte,  es 
culpa  de  estos  “zombies”  tal  cantidad  de  basura  desproporcionada,  y,  para  colmo,  hoy  por  hoy  segun  estos 
nuevos  datos,  los  sufrimos  mas  que  nunca. 


Sergio  de  los  Santos 


22/02/2006  Manzanas  y  gusanos 

Se  habla  en  los  medios  de  un  par  de  virus  (0  troyanos  o  gusanos)  que  han  sido  detectados  replicandose  a  si 
mismos.  Esto  no  seria  en  absolute  novedad,  sino  fuera  porque  el  codigo  infecta  a  los  MAC  OS  X  de  Apple. 

iEsta  siendo  atacado  el  sistema  operativo  mas  elegante?  No  es  un  ataque  propiamente  dicho  y  a  uno 
de  ellos,  incluso,  ni  siquiera  se  le  puede  llamar  virus.  Por  ahora  los  usuarios  de  Mac  pueden  respirar 
tranquilos:  los  virus  de  difusion  masiva  siguen  siendo  una  parcela  reservada  para  Microsoft  y  Windows, 
pero  quizas  se  deberia  reflexionar  sobre  esta  posibilidad  en  un  futuro. 

El  dia  13  de  febrero,  un  usuario  anonimo  (no  podia  ser  de  otra  forma)  dejaba  un  mensaje  en  uno  de 
los  foros  mas  populares  para  usuarios  de  Mac,  MacRumors.  En  el  se  ofrecia  a  traves  de  un  enlace  a  un 
servidor  externo,  un  archivo  comprimido  que  se  supone  contenia  imagenes  de  la  nueva  version  de  Mac  (la 
OS  X  10.5,  llamada  Leopard).  El  fichero  se  llama  latestpics.tgz  y  con  el,  llego  la  polemica. 

Aunque  lo  aparentase,  no  contenia  imagenes.  Eran  simples  ejecutables  UNIX  compilados  y  camuflados... 
un  programa.  A  partir  de  aqui,  podriamos  calificar  a  este  engendro  de  troyano,  por  ocultarse  como  algo  que 
realmente  no  era.  Estas  denominaciones  han  provocado  profundas  discusiones,  pues  las  connotaciones 
implicitas  que  conlleva  calificar  de  troyano  a  un  codigo  no  son  las  mismas  que  calificarlo  de  virus  0 
gusano. 

Esta  ultima  nomenclatura  denota  mas  vulnerabilidad  por  parte  del  sistema  operativo  (virus  y  gusanos 
pueden  ejecutarse  con  minima  interaction  del  usuario,  a  escondidas,  y  pueden  replicarse  habilmente 
entre  los  sistemas)  mientras  que  un  troyano  es  habituahnente  ejecutado  consciente  0  inconscientemente 
por  un  usuario,  lo  que  deja  caer  la  balanza  de  la  culpa  y  la  responsabilidad  mas  hacia  este  ultimo.  Los 
defensores  de  Mac,  en  este  punto,  quieren  dejar  muy  claro  que  el  sistema  operativo  es  seguro,  pero  no 
puede  hacerse  responsables  de  las  intenciones  0  consecuencias  de  la  utilization  por  parte  de  un  usuario 
incauto  e  irresponsable. 

A1  archivo,  una  vez  analizado  se  le  podian  reconocer  rutinas  destinadas  a  autorreplicarse  e  infectar  otros 
sistemas  Mac.  Aprovechaba  la  lista  de  contactos  de  iChat  para  enviarse  a  si  mismo  e  intentar  contagiar 
a  otros  usuarios.  Sobre  esto,  los  usuarios  de  Mac  han  rechazado  igualmente  la  denomination  de  “virus”, 
pues  necesita  de  bastantes  acciones  irresponsables  por  aparte  del  usuario  para  poder  replicarse.  En  primer 
lugar  el  usuario  de  iChat  debe  aceptar  la  transferencia  de  las  supuestas  imagenes,  descomprimirlas  y 
ejecutar  el  archivo  en  su  interior.  Si  el  usuario  pertenece  al  grupo  de  administradores  se  infectara,  si  no, 
el  sistema  operativo  le  pedira  las  credenciales  porque  el  malware  intenta  escribir  en  zonas  reservadas. 
Esto  es  como  en  cualquier  otro  sistema  operativo,  aunque  entre  usuarios  Mac  sea  mas  habitual  relegar  la 
cuenta  de  root  a  labores  administrativas.  Necesitar  de  tanta  ayuda  para  infectar,  debilita  enormemente  las 
posibilidades  de  contagio  masivo. 

Parece  ser  que  tambien  es  capaz  de  infectar  otros  archivos  en  el  sistema,  aunque  su  codigo  no  resulte 
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demasiado  sofisticado.  Ademas,  cabe  destacar  que  no  aprovecha  ninguna  vulnerabilidad  conocida  o 
desconocida  del  sistema  para  ejecutarse.  Su  “modus  operandi”  para  infectar  un  sistema  que  lo  aloje, 
resulta  completamente  manual. 

En  todo  caso,  el  codigo  ha  llegado  al  estatus  de  malware,  pues  varias  casas  antivirus  lo  han  incluido 
en  sus  firmas  bajo  el  nombre  de  OSX/Leap  (otros  como  OSX/Oomp-A),  cosa  que  no  ocurre  a  menudo 
aunque,  a  tenor  de  lo  acontecido  estos  ultimos  dias,  cabria  preguntarse  si  esta  cambiando  esta  tendencia. 
Solo  una  semana  despues  de  la  aparicion  de  este  troyano,  se  hacia  publico  la  existencia  de  un  segundo 
codigo  indeseado  para  Mac  OS  X.  Igual  de  minoritario  (puede  ser  considerado  una  prueba  de  concepto), 
Inqtana-A  si  puede  ser  llamado  virus  pues  aprovecha  una  vulnerabilidad  en  el  componente  Bluetooth 
de  este  sistema  operativo  para  ejecutarse  y,  teoricamente,  la  necesidad  de  una  mano  que  lo  ejecute  es 
minima.  Se  replica  de  sistema  vulnerable  a  sistema  vulnerable  a  traves  de  Bluetooth,  pero  es  casi  seguro 
que  encuentre  pocos  huespedes  que  puedan  alojarlo,  pues  Apple  publico  un  parche  para  ese  problema  en 
mayo  de  2005,  con  lo  que  la  mayoria  de  sistemas  hoy  dia  seran  inmunes. 

Los  usuarios  de  Mac  han  permanecido  durante  muchos  anos  ajenos  a  la  amenaza  del  malware,  son 
confiados  y  la  historia  les  avala.  Desde  que  en  1982  apareciese  Elk  Cloner  (creado  por  un  quinceanero)  e 
infectase  a  sistemas  Apple  II  (nada  que  ver  con  los  Mac  OS  X  actuales)  a  traves  de  disquetes,  pocas  han 
sido  las  oportunidades  de  bautizar  a  un  virus.  El  problema  es  que  en  dos  semanas,  han  tenido  que  hacerlo 
en  dos  ocasiones. 

Aunque  Mac  OS  X  es  un  excelente  sistema  operativo,  seguro  por  diseno,  son  siempre  los  usuarios  que 
manejan  cualquier  maquina  los  que  pueden  resultar  realmente  peligrosos.  Si  no  ejecutan  codigo  no 
contiable  y  se  mantienen  actualizados,  no  sufriran  a  estos  dos  nuevos  especimenes  encontrados.  Aun  asi, 
no  conviene  bajar  la  guardia  ante  posibles  amenazas  futuras  mas  sofisticadas  y  propagadas  que  ocurriran, 
segun  las  tendencias  actuales,  solo  y  exclusivamente  cuando  la  creation  de  malware  para  este  sistema 
operativo  proporcione  algun  tipo  de  rentabilidad  significativa  a  sus  creadores. 

De  hecho,  de  una  encuesta  promocionada  por  Sophos  sobre  600  usuarios,  el  79%  pensaba  que  Apple  sera 
objetivo  del  malware  en  el  futuro,  aunque  la  mitad  pensara  que  nunca  llegaria  a  suponer  el  problema 
que  representa  para  usuarios  de  Microsoft.  Lo  curioso  de  la  encuesta,  quizas,  es  ese  21%  que  se  muestra 
contiado  y  no  cree  que  el  malware  vaya  a  suponer  nunca  un  problema  para  su  sistema  operativo. 

Esa  confianza,  se  use  el  sistema  operativo  que  se  use,  resulta  mala  companera  y  es  bastante  probable  que 
haya  impulsado,  por  ejemplo,  a  muchos  usuarios  de  Mac  a  ejecutar  alegremente  las  supuestas  y  esperadas 
imagenes  del  nuevo  sistema  operativo,  sin  preguntarse  si  eran  realmente  imagenes,  quien  las  enviaba  y 
por  que.  Esta  prudencia  basica,  por  experiencia,  es  algo  que  ya  muchos  usuarios  de  Windows  se  plantean 
antes  de  lanzar  su  raton  sobre  archivos  desconocidos,  mientras  que  a  usuarios  de  Mac,  tambien  por  propia 
experiencia,  es  probable  que  ni  se  les  pase  por  la  cabeza. 

Ademas  de  este  debate  abierto  sobre  el  futuro  del  malware  para  Mac,  habra  que  estar  atento  al  potencial 
impacto  que  tendra  en  la  seguridad  la  posibilidad  de  ejecutar  el  sistema  operativo  bajo  microprocesadores 
Intel. 


Sergio  de  los  Santos 
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28/03/2006  Troyanos  bancarios:  nuevos  enfoques  contra  sistemas  de  seguridad 

Que  el  asunto  de  los  troyanos  orientados  al  fraude  bancario  se  esta  poniendo  muy  serio  es  algo  que 
podemos  comprobar  en  Hispasec  dla  a  dla  en  nuestro  servicio  VirusTotal.  Son  literalmente  cientos  los  que 
son  analizados  en  el  servicio  cada  dia,  y  esta  legion  no  esta  formada  solo  por  variantes  de  las  familias  ya 
clasicas  (Bifrose,  Goldun,  Zagaban,  Psyme,  etc.)  sino  tambien  por  nuevos  ejemplares  que  se  suman  a  las 
bias  de  esta  amenaza  creciente. 

Los  codigos  TAN  (Transaction  Authentication  Number,  Numero  de  Autenticacion  de  Transaccion  para 
los  hispanoparlantes)  son  utilizados  por  algunas  entidades  bancarias  como  una  forma  para  reforzar  la 
seguridad  a  la  hora  de  realizar  operaciones  desde  las  cuentas  online.  Basicamente  se  trata  de  claves  de  un 
solo  uso  que  el  usuario  puede  recibir  de  su  entidad  bancaria  por  ejemplo  via  SMS  (una  vez  por  codigo)  0 
por  correo  ordinario  (una  lista  para  varios  usos).  Teoricamente,  este  mecanismo  de  ‘doble  autenticacion’ 
ofrece  una  proteccion  mayor  que  el  uso  de  una  clave  de  autenticacion  inicial  con  el  banco  mas  el  uso  tipico 
de  una  secundaria  para  realizar  operaciones. 

Sin  embargo,  y  como  es  natural,  los  desarrolladores  de  malware  van  modificando  sus  criaturas  para 
adaptarse  a  nuevos  retos.  Otro  representante  de  las  anteriormente  nombradas  familias  clasicas  de 
troyanos,  con  denomination  Kaspersky  Trojan-Spy.Win32.Goldun.im,  ha  optado  por  anadir  a  sus  mfiltiples 
capacidades  (entre  las  que  se  encuentra  funcionalidad  rootkit  para  ocultarse  convenientemente  en  el 
sistema)  la  captura  de  estos  codigos  de  transaccion  para  poder  realizar  sus  actividades  fraudulentas. 

Este  ejemplar  utiliza  un  sistema  sencillo  man-in-the-middle,  pero  que  si  es  convenientemente  explotado, 
puede  ser  sumamente  eficiente:  interceptando  la  comunicacion  HTTPS  con  las  entidades  afectadas 
(en  este  caso  dos  bancos  alemanes:  Postbank  y  Deutsche  Bank),  captura  el  TAN  que  envia  el  usuario  y 
seguidamente  muestra  un  mensaje  de  error  a  la  victima.  Mientras  esta  se  pregunta  que  demonios  ha 
pasado,  llega  para  el  atacante  el  momento  de  hacer  rapido  uso  de  dicho  TAN  para  poder  acceder  a  la  cuenta 
de  la  victima,  dado  el  periodo  de  vida  limitado  que  tiene  dicho  codigo  de  transacciones. 

Visto  de  forma  global,  en  realidad  este  ejemplar  de  malware  no  constituye  ninguna  novedad  tecnica,  pero 
pone  de  nuevo  en  evidencia  que  ningun  sistema  de  proteccion  es  infalible  a  lo  largo  del  tiempo  contra  la 
cada  vez  mas  agresiva  action  de  este  tipo  de  amenazas. 

Como  de  costumbre,  ante  este  tipo  de  actividades  lo  recomendable  es  seguir  al  menos  unas  cuantas 
directrices  tecnicas,  como  mantener  convenientemente  parcheado  el  sistema  operativo,  usar  un  buen 
antivirus  y  un  igualmente  competente  firewall  personal.  Sin  embargo,  lo  mas  importante  es  aplicar  el 
sentido  comun,  sobre  todo  en  lo  referente  a  los  habitos  de  navegacion  y  al  tratar  con  el  correo  electronico. 

Julio  Canto 


24/04/2006  Sexo,  troyanos,  y  phishing 

Ya  lo  decia  Nietzsche,  “el  sexo  es  una  trampa  de  la  naturaleza  para  no  extinguirse”.  Ahora  son  los  phishers 
los  que  estan  utilizando  esta  trampa  como  reclamo  para  infectar  a  los  usuarios  con  troyanos  y  capturar 
sus  claves  de  acceso  a  la  banca  electronica. 

El  phishing  tradicional  se  presenta  en  forma  de  correo  electronico  simulando  provenir  de  la  empresa 
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suplantada,  la  mayoria  de  las  veces  una  entidad  financiera,  e  instando  al  usuario  con  cualquier  excusa  a 
introducir  sus  claves  en  un  formulario  que  realmente  envla  los  datos  al  phisher. 

Aunque  simple,  llega  a  ser  efectivo.  El  hecho  de  que  continuen  con  esa  estrategia  lo  demuestra  por  si  solo, 
sin  necesidad  de  contar  con  estadisticas  o  datos  concretos  de  incidentes  reales,  tema  tabu  por  otro  lado. 
Dejando  claro  que  el  phishing  tradicional  es  un  tema  importante,  que  mueve  mucho  dinero,  no  es  menos 
cierto  que  en  muchas  ocasiones  es  mas  el  ruido  que  las  nueces.  Ruido  que  suele  traducirse  en  dano  a  la 
imagen  corporativa,  publicidad  negativa  dificil  de  cuantificar,  si  bien  no  son  pocas  las  veces  que  ese  efecto 
colateral  supera  a  la  perdida  directa  del  ataque,  ya  que  el  phisher  no  obtiene  ningun  resultado. 

Por  una  causa  u  otra,  en  ocasiones  por  ambas,  el  phishing  tradicional  es  sin  duda  temido  y  bien  conocido. 
Sin  embargo,  pese  a  su  popularidad,  no  es  ni  el  unico  ni,  tal  vez,  el  metodo  mas  efectivo  de  ataque  que 
utilizan  los  phishers.  Existe  una  amenaza  oculta,  casi  fantasma,  de  la  que  apenas  se  tienen  datos  globales, 
y  que  lleva  ya  tiempo  siendo  explotada  de  forma  efectiva  por  los  phishers:  troyanos. 

A  diferencia  del  phishing  tradicional,  los  troyanos  permiten  diversidad  de  ataques  una  vez  la  maquina 
del  usuario  esta  comprometida.  El  phishing  tradicional  es  efectivo  en  el  caso  de  contrasenas  estaticas, 
requiere  que  el  usuario  se  crea  que  el  e-mail  fraudulento  proviene  de  su  banco,  y  que  meta  las  claves  en  una 
pagina  cuya  direction  no  corresponde  a  la  web  de  su  entidad.  Amen  de  que  son  rapidamente  detectados  y 
su  desactivacion  varia  entre  pocas  horas  y,  en  el  peor  de  los  casos,  algunos  dias. 

Por  su  parte,  los  troyanos  pasan  mucho  mas  desapercibidos  y  pueden  capturar  los  datos  sin  levantar 
sospechas  al  usuario,  no  necesitan  exponerse  al  conocimiento  publico  a  traves  de  un  spam,  y  su  esperanza 
de  vida  es  mucho  mayor,  suelen  descubrirse  semanas  o  meses  despues  de  haber  iniciado  su  actividad. 

Ademas,  los  troyanos  no  tienen  las  limitaciones  de  una  pagina  web  falsa  y  pueden  burlar  las  protecciones 
mas  habituales.  Un  troyano  puede  capturar  tanto  las  pulsaciones  de  teclado,  como  pequenas  areas  de 
pantalla  alrededor  del  cursor  en  el  caso  de  teclados  virtuales,  o  capturar  los  datos  del  formulario  en  claro, 
antes  de  que  el  navegador  lo  pase  por  SSL.  Pueden  modificar  las  paginas  que  la  web  del  banco  presenta  al 
usuario,  o  los  datos  que  el  usuario  envia  al  servidor  seguro  de  la  entidad,  llevar  a  cabo  ataques  tipo  hombre 
en  medio,  vulnerar  los  sistemas  basados  en  clave  unica,  tokens,  SMS,  DNI  electronico,  etc. 

Una  vez  una  maquina  esta  comprometida,  no  se  puede  garantizar  la  seguridad  de  una  transaction  realizada 
a  traves  de  ella. 

En  el  laboratorio  de  Hispasec  llegamos  a  analizar  mas  de  50  muestras  diarias  distintas  de  troyanos 
bancarios,  que  son  enviadas  al  servicio  VirusTotal.  Distinguimos  principalmente  dos  escuelas, 
internamente  las  denominamos  rusa  y  brasilena,  que  difieren  bastante  en  la  estrategia,  tecnicas  utilizadas, 
y  programacion. 

Si  bien,  ademas  del  fin  comun  que  persiguen  (robar  claves  de  acceso  a  la  banca  electronica),  hemos 
encontrado  otro  punto  en  comun  que  suele  aparecer  con  asiduidad  en  ambas  escuelas:  el  sexo  como 
reclamo  para  infectar  usuarios. 

El  sexo  es  un  tema  utilizado  recurrentemente  en  ingenieria  social  (termino  utilizado  en  seguridad 
informatica  a  las  tecnicas  para  enganar  al  usuario),  asi  como  otras  tematicas  mucho  mas  romanticas.  No 
olvidemos  el  famoso  “iloveyou”,  gusano  que  hiciera  aparicion  en  mayo  de  2000,  y  que  se  propago  por  todo 
el  mundo  gracias  a  que  pocos  se  resistieron  a  abrir  una  supuesta  carta  de  amor  que  llegaba  a  su  buzon  de 
correo. 


Una  al  dia.  Once  anos  de  seguridad  informatica  -  2006  - 


207 


En  el  caso  de  los  troyanos  bancarios  que  nos  ocupa  las  tematicas  suelen  ser  menos  romanticas  y  mas 
expllcitas.  Pueden  llegar  adjuntos  en  un  e-mail  como  una  supuesta  foto  algo  subida  de  tono,  hasta  ahora 
siempre  de  una  femina,  o  un  mensaje,  tipo  spam,  que  nos  invita  a  visitar  una  pagina  con  contenidos  para 
adultos. 

En  ambos  casos,  y  como  norma  general,  el  usuario  logra  visualizar  el  contenido  que  esperaba,  lo  que 
minimiza  las  sospechas  de  que  algo  irregular  ha  ocurrido. 

En  el  caso  de  los  adjuntos  el  archivo  suele  ser  un  ejecutable,  con  la  extension  real  ofuscada  y  que  aparece 
representado  en  Windows  con  el  icono  utiliza  para  los  formatos  graficos.  A1  ser  abierto  el  ejecutable 
muestra  la  esperada  foto,  pero  al  mismo  tiempo  que  el  usuario  se  recrea  en  su  visualization,  de  forma 
oculta,  el  troyano  es  instalado  en  su  sistema. 

En  la  otra  variante  ampliamente  utilizada,  la  del  mensaje  que  incita  al  usuario  a  visitar  una  pagina,  tambien 
se  muestran  los  contenidos  adultos.  En  esta  ocasion  la  pagina  web  suele  incluir  ademas  algun  exploit  que 
aprovecha  vulnerabilidades  conocidas  del  navegador,  la  mayoria  de  veces  contra  Internet  Explorer  por 
ser  el  que  mayor  cuota  de  mercado  tiene  y  por  tanto,  a  priori,  augura  mayor  numero  de  infecciones  al 
atacante. 

En  el  caso  de  que  el  usuario  no  mantenga  su  sistema  actualizado  con  los  ultimos  parches  de  seguridad,  el 
troyano  es  descargado  e  instalado  en  su  sistema  de  forma  oculta  mientras  visualiza  el  contenido  adulto. 

Algunos  ejemplos  de  los  contenidos  utilizados  por  los  ultimos  troyanos  pueden  encontrarse  en: 
http://blog.hispasec.com/laboratorio/118 

Las  recomendaciones  para  prevenir  este  tipo  de  infecciones  son  basicas,  por  un  lado  debemos  ignorar 
todos  los  mensajes  de  spam,  no  abrir  sus  archivos  adjuntos  ni  visitar  sus  enlaces,  directamente  borrarlos. 
Las  soluciones  antispam  tambien  minimizaran  el  riesgo  de  recibir  este  tipo  de  mensajes. 

Por  otro  lado  es  fundamental  que  mantengamos  el  sistema  operativo  puntualmente  actualizado  con  los 
ultimos  parches  de  seguridad.  Especial  atencion  a  disponer  de  la  ultima  version  de  nuestro  navegador.  En 
el  caso  de  Windows,  sistema  al  que  de  momento  se  dirigen  este  tipo  de  troyanos,  se  recomienda  activar  las 
actualizaciones  automaticas  y/o  visitar  periodicamente  el  sitio  http://windowsupdate.microsoft.com 

Un  buen  antivirus  tambien  sera  de  gran  ayuda  para  prevenir  estas  vias  de  infection  y  otras  estrategias  de 
distribution  seguidas  por  los  troyanos  bancarios  y  el  resto  del  malware. 

Como  hemos  visto,  en  el  terreno  virtual  tambien  es  necesario  tomar  una  serie  de  precauciones  para 
disfrutar  del  sexo  de  forma  segura.  Por  terminar  como  empezamos,  con  una  cita,  debemos  ser  mas  criticos 
con  lo  que  nos  ofrecen  en  Internet  y  no  dejarse  ofuscar  como  Woody  Allen,  que  llego  a  decir,  “Solo  existen 
dos  cosas  importantes  en  la  vida.  La  primera  es  el  sexo  y  la  segunda  no  me  acuerdo”. 

Bernardo  Quintero 


12/07/2006  Troyanos  bancarios  y  evolucion  del  phishing 

El  phishing  tradicional,  aquel  que  llega  a  traves  de  e-mail  y  nos  invita  a  visitar  una  pagina  web  que  imita  a 
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la  original  de  la  entidad  para  que  suministremos  las  claves  de  acceso,  ya  no  es  el  principal  vector  de  ataque 
del  fraude  en  Internet.  El  numero  de  troyanos  bancarios  supera  en  numero  y  efectividad  al  phishing 
mas  conocido,  sin  embargo  no  hay  datos  publicos  sobre  su  actividad  ni  modus  operandi.  A  continuation 
mostraremos  un  video  de  como  actua  uno  de  esos  troyanos  que  lleva  meses  entre  nosotros. 

El  phishing  tradicional 

El  phishing  tradicional  es  facil  de  advertir,  ya  que  es  enviado  de  forma  masiva  a  nuestros  buzones  de 
correo,  lo  que  facilita  su  localization  temprana  y  los  avisos  relativos  a  casos  concretos.  A  la  parte  publica, 
con  iniciativas  de  information  y  alerta  o  las  recomendaciones  de  seguridad  publicadas  por  las  propias 
entidades  financieras,  hay  que  sumar  las  acciones  privadas  entre  entidades  y  empresas  de  seguridad 
que  permiten  la  deteccion  de  sitios  fraudulentos  antes  que  sean  conocidos.  En  estos  ultimos  casos  los 
incidentes  no  suelen  trascender,  por  lo  que  el  numero  de  ataques  phishing  es  mayor  que  el  que  pueda 
revelar  cualquier  estadistica  publica. 

Ademas  de  la  deteccion,  mas  o  menos  temprana,  otro  apartado  importante  es  el  de  la  mitigation.  El 
phishing  tradicional  ofrece  oportunidades  al  usuario  para  que  pueda  diferenciar  el  sitio  original  de  uno 
fraudulento,  ya  que  hay  elementos  visibles  que  permiten  su  identification. 

En  la  mayoria  de  los  casos,  el  usuario  podra  observar  que  la  URL  o  direction  que  aparece  en  el  navegador 
no  corresponde  con  la  de  su  entidad,  o  que  la  conexion  no  es  segura  (no  aparece  el  https  ni  el  candadito  en 
el  navegador).  Y  como  medida  preventiva,  por  activa  y  por  pasiva,  se  le  esta  recomendando  a  los  usuarios 
que  deben  hacer  caso  omiso  de  los  mensajes  de  correo  electronico  que  le  piden  que  introduzca  su  usuario 
y  contrasena  con  cualquier  excusa. 

Las  entidades  y  empresas  de  seguridad  tambien  tienen  facil  prevenir  ciertas  practicas  de  phishing 
tradicional,  mitigar  la  funcionalidad  de  los  que  se  detecten  activos  y  cerrarlos  de  forma  rapida. 

Pese  a  que  efectivamente  el  phishing  tradicional  es  bastante  primitivo,  no  deja  de  ser  un  problema 
importante.  Aunque  el  numero  de  incidentes  reales  es  practicamente  un  tema  tabu,  nunca  se  ofreceran 
datos  de  usuarios  afectados  o  cantidades  economicas  concretas,  el  hecho  de  que  no  decaigan  los  ataques 
es  la  mayor  constatacion  de  que  sigue  siendo  una  actividad  rentable  para  los  estafadores. 

El  problema  no  acaba  en  el  fraude  en  si  mismo,  a  los  ataques  con  exito  que  puedan  darse  hay  que  sumar 
la  imagen  negativa  que  afecta  a  entidades  con  nombre  propio  y  al  canal  en  general,  efecto  colateral  que  en 
ocasiones  es  mas  perjudicial  para  las  entidades  que  el  propio  fraude  directo. 

En  este  contexto,  cuando  aun  no  hemos  superado  el  phishing  tradicional  y  los  diferentes  agentes  implicados 
discuten  sobre  responsabilidades  o  estrategias  para  luchar  contra  este  tipo  de  estafas,  existe  una  evolution 
del  phishing  que  es  mas  desconocida  y  complicada  de  prevenir. 

Los  troyanos  bancarios 

Aunque  todo  el  mundo  ha  escuchado  hablar  de  los  troyanos  bancarios,  no  existen  datos  concretos  sobre  su 
proliferation  ni  sobre  los  metodos  que  utilizan. 

Por  norma  general  los  troyanos  bancarios  suelen  asociarse  a  los  keyloggers,  programan  que  capturan  las 
pulsaciones  de  teclas  cuando  introducimos  nuestras  claves.  Incluso  en  circulos  mas  especializados  se  tiene 
esa  erronea  perception,  basta  con  observar  como  las  propias  entidades  implantan  teclados  virtuales  en 
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un  intento  de  prevenir  su  accion. 

La  realidad  es  que  ya  hace  tiempo  que  la  tecnica  tipo  keylogger  dejo  de  ser  la  utilizada  mayoritariamente 
por  los  troyanos  bancarios,  precisamente  por  la  proliferation  de  teclados  virtuales.  Hoy  dia  los  troyanos 
bancarios  capturan  las  contrasenas  de  manera  independiente  a  si  se  introducen  las  claves  por  el  teclado 
real  o  por  un  teclado  virtual,  por  mucho  que  este  ultimo  se  mueva  o  cambie  la  position  de  las  teclas. 

A  continuation  vamos  a  mostrar  un  video  de  un  troyano  bancario  que  lleva  a  cabo  su  accion  pese  a  que  el 
usuario  sigue  recomendaciones  de  seguridad  tales  como  escribir  directamente  la  direction,  comprobar  el 
https,  o  el  certificado  de  la  entidad. 

http://www.hispasec.com/directorio/laboratorio/phishing/demo3/troyano_banesto.htm 

No  se  trata  de  un  troyano  especialmente  avanzado  ni  novedoso,  lleva  meses  actuando  en  Espana, 
protagonizando  incidentes  reales,  y  es  bien  conocido  entre  las  propias  entidades  y  antivirus.  Sin  embargo 
aparecen  variantes  a  razon  de  una  por  semana  practicamente,  todas  ellas  enfocadas  a  varias  entidades 
espanolas  e  internacionales. 

Lo  mas  preocupante  es  que  la  evolution  de  este  tipo  de  malware  es  constante.  En  el  Laboratorio  de 
Hispasec  llevamos  tiempo  viendo,  por  ejemplo,  troyanos  que  son  efectivos  contra  el  uso  de  certificados 
en  los  clientes,  tokens  y  claves  de  un  solo  uso,  diferentes  estrategias  contra  los  sistemas  de  tarjetas  de 
coordenadas,  etc. 

No  estamos  hablando  de  pruebas  de  concepto  o  troyanos  de  laboratorio,  sino  de  especimenes  reales  que 
llevan  ya  tiempo  infectando  los  sistemas  y  afectando  a  los  usuarios.  De  estos  troyanos,  solo  una  pequena 
parte  es  analizada,  y  un  porcentaje  aun  inferior  de  esos  analisis  llega  a  las  entidades  afectadas. 

En  estos  momentos  los  laboratories  de  las  empresas  antivirus  estan  saturados  por  el  volumen  de  malware 
en  general  que  se  produce,  de  forma  que  solo  puntualmente  ofrecen  datos  concretos  sobre  algunos 
especimenes.  No  es  un  problema  de  los  antivirus,  es  que  a  dia  de  hoy  es  materialmente  imposible  analizar 
y  publicar  informes  de  todos  los  especimenes  que  aparecen. 

Las  entidades  recurren  a  empresas  de  seguridad  para  que  analicen  algunos  sistemas  de  usuarios 
comprometidos,  pero  el  numero  de  troyanos  detectados  con  esta  estrategia  es  infima,  ademas  de  ser  un 
esquema  reactivo,  inefectivo,  muy  poco  escalable  y  menos  rentable. 

En  VirusTotal  estamos  recibiendo  mas  de  5.000  muestras  diarias  para  analizar  de  forma  automatica, 
aproximadamente  un  30%  de  ellas  estan  relacionadas  con  el  crimeware.  En  Hispasec  analizamos  “a  mano” 
unos  90  troyanos  bancarios  diariamente,  solo  para  detectar  a  que  entidades  afectan  y  a  donde  van  a  parar 
los  datos  capturados. 

El  desconocimiento  de  este  tipo  de  troyanos,  las  direcciones  concretan  a  las  que  apuntan,  o  los  metodos 
generates  que  utilizan  para  capturar  las  contrasenas,  impiden  a  las  entidades  financieras  actuar  tanto  de 
forma  reactiva  como  preventiva  contra  ellos. 

El  problema  del  phishing  no  acaba  aqui,  seguira  evolucionando,  lo  que  debe  tambien  evolucionar  es  la 
forma  de  abordarlo,  ya  que  en  la  actualidad  no  se  esta  llevando  a  cabo  de  forma  efectiva,  hay  muchas  areas 
de  oportunidad  desaprovechadas. 
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Es  fundamental  que,  ante  la  diversification  de  las  tecnicas,  exista  una  cooperation  real  y  que  los  agentes 
implicados  superen  sus  intereses  particulares,  de  lo  contrario  nos  seguiran  ganando  la  partida. 

En  estos  momentos,  desde  el  propio  sector  de  la  seguridad,  hay  muchos  intereses  creados  respecto  a  los 
sistemas  de  autenticacion  empleados.  Sin  embargo,  el  talon  de  Aquiles  y  principal  caballo  de  batalla  es  y 
sera  la  integridad  del  sistema  del  usuario. 

En  este  terreno  debemos  sumar  lo  que  tienen  que  ofrecernos  (y  debemos  exigirles)  las  casas  antivirus, 
hoy  por  hoy  cuentan  con  el  software  de  seguridad  mas  implantado  a  nivel  de  usuario  y  con  los  recursos 
humanos  mas  especializados  a  nivel  tecnico.  Sin  embargo  suelen  ser  convidados  de  piedra  en  algunos 
grupos  antiphishing. 

Tampoco  hay  que  olvidar  la  responsabilidad  del  sistema  operativo  o  del  navegador,  ya  que  muchos  ataques 
aprovechan  vulnerabilidades  o  debilidades  del  software.  Sumemos  los  ISPs,  las  fuerzas  de  seguridad, 
legislation,  iniciatias  especificas  desde  la  administration  publica,  aportaciones  de  la  comunidad  academica, 
asociaciones  de  usuarios... 

Luchar  contra  el  phishing  y  las  estafas  en  Internet  de  forma  unilateral  es  condenarse  al  fracaso. 

Bernardo  Quintero 


31/08/2006  La  decadencia  de  los  gusanos  de  infeccion  masiva 

Larry  Seltzer  publica  en  eWeek  una  reflexion  sobre  el  escaso  impacto  actual  de  los  gusanos  de  red.  Si  en 
otros  tiempos  fueron  capaces  de  afectar  a  millones  de  usuarios  de  Windows  (aunque  tambien  han  existido 
para  servidores  PHP,  por  ejemplo),  degradar  redes  mundiales  y  permanecer  activos  durante  meses,  hoy 
representan  una  simple  resena  mas  en  las  firmas  de  antivirus.  Sin  embargo,  esto  no  significa  que  los 
sistemas  informaticos  de  consumo  no  esten  en  su  peor  momento  en  cuanto  a  niveles  de  infeccion. 

Bajo  el  titulo  “The  end  of  the  worm  era”  (el  fin  de  la  era  de  los  gusanos),  Seltzer  comienza  hablando  sobre 
el  virus  W32.Wargbot  que  aprovecha  la  vulnerabilidad  descrita  en  el  boletin  MS06-040  de  Microsoft. 
Este  virus  ha  pasado  (o  esta  pasando)  sin  pena  ni  gloria  por  los  sistemas  (especiahnente  Windows  2000) 
sin  que  haya  causado  un  mayor  destrozo.  La  vulnerabilidad  dejaba  la  puerta  abierta  a  la  creation  de  un 
gusano  y  este  no  tardo  en  aparecer.  Una  simple  conexion  abierta  a  una  red  podia  permitir  el  envio  de 
paquetes  manipulados  y  la  ejecucion  de  codigo  arbitrario  en  todas  las  versiones  de  Windows. 

Estos  tipos  de  fallos  de  seguridad  fueron  los  responsables  de  gusanos  tan  efectivos  como  el  infame  Blaster, 
que  se  alimentaba  de  la  vulnerabilidad  descrita  en  MS03-039.  Sasser,  meses  despues,  aparecio  tambien  a 
principios  de  2004  con  un  metodo  muy  parecido.  Ambos  causaron  estragos  en  redes  de  todo  el  mundo,  y 
millones  de  personas  observaban  impotentes  como  les  aparecia  el  mensaje  de  que  habia  ocurrido  un  fallo 
critico  y  el  ordenador  se  apagaria  en  un  minuto. 

Pero  esto  fue  hace  tres  anos,  y  quizas  fuimos  testigos  del  ultimo  de  los  grandes  gusanos  de  expansion  e 
infeccion  masiva.  Hoy  no  es  lo  habitual,  y  la  discreta  presencia  de  Wargbot  lo  confirma.  Esto  no  quiere 
decir  que  la  amenaza  sea  menor,  simplemente  que  la  tendencia  cambia.  Las  primeras  versiones  de  Blaster 
eran  un  desastre  en  cuestion  de  programacion,  y  aun  asi  consiguio  una  propagation  masiva.  Wargbot  es 
mucho  mas  sofisticado,  y  no  habra  sido  tan  famoso,  pero  seguro  que  ha  cumplido  la  mision  para  la  que  fue 
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creado  y  ha  logrado  que  se  lucren  de  alguna  forma  sus  programadores.  Si  bien  los  gusanos  pueden  estar 
en  decadencia,  los  troyanos  bancarios  campan  a  sus  anchas  en  ordenadores  de  todo  el  mundo,  y  decenas 
de  nuevas  versiones  aparecen  cada  dia.  Los  niveles  de  infeccion  siguen  siendo  excesivamente  elevados, 
pero  no  precisamente  por  gusanos  de  gran  expansion.  Se  busca  la  eficacia  silenciosa  de  virus,  troyanos  y 
gusanos,  huyendo  de  la  infeccion  masiva  y  del  facil  reconocimiento  de  casas  antivirus. 

Las  causas  de  esta  decadencia  de  gusanos  de  red  pueden  ser  muchas.  La  aparicion  del  Service  Pack  2  para 
Windows  XP,  con  el  cortafuegos  activado  por  defecto,  y  su  mejora  de  la  seguridad  en  general,  puede  ser 
una  de  las  mas  significativas.  Un  estudio  realizado  por  Microsoft,  revela  que  del  total  de  sistemas  que  ha 
desinfectado  su  “Malicious  Software  Removal  Tool”  solo  un  3%  corresponde  a  XP  SP2,  mientras  que  XP  y 
XP  SPi  acumulan  el  63%  de  las  infecciones  detectadas. 

Las  actualizaciones  automaticas  tambien  ayudan  a  mitigar  el  impacto  de  estos  gusanos,  previniendo  a  los 
usuarios  de  infecciones  causadas  por  vulnerabilidades.  Sobre  este  punto  (y  de  lo  que  no  habla  Seltzer)  es 
interesante  destacar  lo  “contraproducente”  de  una  actividad  virica  masiva  y  descontrolada  que  aprovecha 
agujeros  de  seguridad.  Cada  vez  son  mas  rapidos  en  aparecer  los  virus  y  gusanos  que  aprovechan 
vulnerabilidades  criticas,  y  esto  ha  podido  provocar  una  especie  de  muerte  por  exito  del  sistema  de 
infeccion  masivo.  Los  usuarios  ajenos  a  la  seguridad,  que  no  parchean  sus  sistemas,  comprueban  como 
el  ordenador  se  vuelve  ya  no  solo  lento  e  inestable,  sino  absolutamente  inoperativo  al  poco  tiempo.  Esto 
comenzo  a  constatarse  durante  2004,  cuando  era  imposible  conectar  un  ordenador  con  un  Windows  no 
parcheado  a  Internet,  pues  era  cuestion  de  minutos  que  Blaster  o  Sasser  aparecieran  infectandolo  todo  y 
obligando  a  una  instalacion  completa  con  parches  incluidos. 

Esto  marco  un  punto  de  inflexion,  y  el  campo  de  la  infeccion  masiva  por  gusanos  se  ha  visto  tan  saturado 
desde  entonces,  que  literalmente  es  ya  imposible  mantener  un  ordenador  “usable”  durante  un  periodo 
de  tiempo  razonable  si  no  es  con  un  cortafuegos  y  con  los  parches  de  seguridad  correspondientes. 
Practicamente  han  sido  los  propios  gusanos  los  que  han  “obligado”  sin  remedio  a  los  usuarios,  incluso 
a  los  mas  descuidados  y  temerarios,  a  parchear  un  sistema  y  refugiarse  detras  de  un  cortafuegos,  y  sin 
vulnerabilidades,  no  hay  forma  de  propagarse.  Quizas  han  cavado  su  propia  tumba  por  un  excesivo  exito. 
Sin  embargo,  la  evolution  sigue  su  camino  y  los  niveles  de  infeccion  siguen  altos.  Los  troyanos  bancarios, 
mucho  mas  discretos  y  que  encuentran  principalmente  en  los  navegadores  la  puerta  de  entrada  en  los 
sistemas  operativos,  han  tornado  el  relevo  y  representan  hoy  una  de  las  mayores  amenazas  viricas  de  las 
que  preocuparse. 


Sergio  de  los  Santos 


24/10/2006  Malware  y  phishing,  tponemos  mas  puertas  al  campo? 

Los  sistemas  de  seguridad  reactivos,  basados  en  firmas  tradicionales  para  el  malware  y  listas  negras  para 
el  phishing,  estan  obsoletos  y  se  muestran  insuficientes  para  abordar  una  realidad  cuyos  numeros  y  efectos 
se  desconocen. 

La  Real  Academia  Espanola  describe  “poner  puertas  al  campo”  como  frase  coloquial  usada  para  dar  a 
entender  la  imposibilidad  de  poner  limites  a  lo  que  no  los  admite. 

Por  definition,  tanto  el  malware  como  el  phishing  son  conjuntos  finitos,  si  bien  estan  en  continuo 
crecimiento.  La  production  actual  es  tan  prolifica  que  a  efectos  practicos  es  imposible  luchar  de  forma 
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efectiva  intentando  poner  una  nueva  “puerta”  para  cerrar  la  via  de  entrada  de  cada  nuevo  caso  de  malware 
o  phishing. 

iSe  desconoce  la  magnitud  del  problema? 

Cuando  uno  trabaja  dentro  del  sector  tiene  acceso  a  material  de  primera  mano  y  tendencia  a  perder  la 
perspectiva  que  se  distingue  del  problema  desde  el  exterior.  Es  normal  que  difiera  la  percepcion  de  un 
usuario  respecto  a  un  profesional  de  la  seguridad. 

Tener  puntos  de  vistas  diferentes  suele  ser  complementario  y  enriquecedor.  Ademas,  tradicionalmente 
las  casas  de  seguridad  han  realizado,  en  ocasiones  o  de  forma  puntual,  un  mal  uso  de  las  estadisticas  y 
las  alertas,  utilizandolas  como  herramienta  de  marketing  para  provocar  la  necesidad  de  adquirir  unos 
determinados  productos.  No  es  de  extranar  que  el  usuario  de  hoy  mantenga  cierta  actitud  critica,  por  otro 
lado  recomendable,  cuando  se  le  habla  de  los  peligros  que  acechan  en  Internet. 

Ahora  bien,  cuando  uno  lee  en  prensa  que  aparecen  2.000  nuevos  virus  cada  mes  de  boca  de  un  reputado 
experto  en  seguridad,  ya  no  es  un  simple  problema  de  percepcion  entre  usuarios  finales  y  profesionales 
del  sector.  La  brecha  es  mayor. 

Algunos  numeros 

Un  laboratorio  antivirus  puede  recibir  cada  dia  una  media  de  mil  nuevas  muestras  de  malware  para  las 
que  su  solution  no  disponia  de  firma  de  deteccion  especifica.  No  hay  ninguna  errata  en  los  numeros, 
hablamos  de  1.000  en  24  horas,  Y  hay  casos  donde  el  volumen  es  mayor. 

El  phishing  y  el  robo  de  credenciales  de  acceso  a  banca,  al  contrario  del  malware,  tal  vez  sea  una  actividad 
mas  visible.  No  en  vano  la  estrategia  mas  comun  por  parte  de  los  atacantes  es  realizar  un  spam  masivo 
para  hacer  llegar  la  direction  falsa  al  mayor  numero  de  victimas  potenciales.  Todos  hemos  recibido  varios 
mensajes  de  ese  tipo,  y  mas  o  menos  podemos  hacernos  una  idea  del  volumen. 

Ahora  bien,  cuando  hablamos  de  troyanos  bancarios  o  de  phishing  segmentado  entramos  en  un  terreno 
mucho  mas  oscuro.  Como  dato,  en  el  laboratorio  de  Hispasec  analizamos  mas  de  100  troyanos  bancarios 
cada  dia. 

iEn  que  se  traducen  estos  numeros? 

La  situation  es  algo  contradictoria.  Vivimos  la  epoca  con  mayor  numero  de  amenazas  e  incidentes  en 
Internet,  si  bien  la  percepcion  general  sobre  la  inseguridad  se  ha  relajado  respecto  a  anos  anteriores. 

Algunos  culpables 

El  malware  ha  dejado  de  ser  noticia.  Antes  solia  aparecer  regularmente  un  gusano  de  propagation  masiva 
que  obtenia  la  atencion  de  los  medios  tradicionales  y  protagonizaba  titulares. 

Ahora  la  estrategia  de  los  atacantes  ha  cambiado.  En  vez  de  un  gusano  de  propagation  masiva  que  infecta 
miles  de  usuarios  en  poco  tiempo,  pero  que  tambien  provoca  que  los  antivirus  reaccionen  en  tiempo 
record,  prefieren  distribuir  miles  de  variantes  que  infectan  a  mas  usuarios,  pasan  mas  desapercibidas,  y 
dificultan  la  labor  de  deteccion  de  los  antivirus. 
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Ademas  el  malware  actual  es  menos  perceptible  por  los  usuarios  infectados.  Atras  quedaron  los  virus  que 
mostraban  efectos  en  las  pantallas  de  los  usuarios,  eliminaban  archivos,  o  los  gusanos  que  provocaban  un 
aumento  en  el  trafico  de  red.  Los  troyanos  y  el  spyware,  reyes  indiscutibles  de  la  escena  actual,  es  software 
disenado  para  permanecer  oculto  en  los  sistemas  y  no  dar  senales  de  su  actividad. 

La  situation  actual 

A  efectos  practicos,  el  disponer  de  un  antivirus  o  no  hacer  caso  a  los  mensajes  de  phishing  no  garantiza 
a  un  usuario  que  su  sistema  no  este  infectado  o  sea  victima  de  una  estafa.  De  hecho,  es  muy  comun 
encontrarse  sistemas  con  antivirus  instalados  donde  conviven  varios  troyanos  y/o  spyware.  Con  frecuencia 
los  usuarios  nunca  llegan  a  ser  conscientes  de  las  infecciones,  mas  de  una  vez  habremos  escuchado  la 
frase:  “parece  que  este  Windows  tiene  demasiado  tiempo,  va  muy  lento  y  con  errores,  toca  formatearlo  de 
nuevo”.  Si,  en  muchas  ocasiones  la  responsabilidad  no  es  del  sistema  de  Microsoft  (comodin  para  todos  los 
mates),  o  al  menos  no  en  exclusividad. 

Tampoco  faltan  casos  de  usuarios  que  han  sido  victimas  de  fraude  a  traves  de  la  banca  electronica  por 
Internet  que  ademas  de  disponer  de  antivirus  actualizado  nunca  han  visitado  una  pagina  de  phishing. 

Lo  que  hay  que  exigir 

Los  sistemas  de  seguridad  totalmente  reactivos  no  son  suficientes,  tenemos  que  exigir  prevention  y 
proactividad. 

Por  ejemplo,  las  firmas  tradicionales  siguen  siendo  imprescindibles  para  los  antivirus  en  la  actualidad, 
si  bien  debemos  de  adquirir  soluciones  que  complementen  esa  capa  de  detection  con  buena  tecnologia 
heuristica  o  basada  en  el  comportamiento,  capaces  de  detectar  malware  nuevo  y  desconocido. 

No  existe  antivirus  infalible,  pero  a  buen  seguro  conseguiremos  un  mayor  grado  de  protection. 

En  el  caso  del  phishing  debemos  exigir  a  nuestras  entidades  sistemas  de  autenticacion  mas  robustos, 
utilizar  el  tipico  usuario  y  contrasena  o  PIN  estatico  para  el  acceso  y  autorizacion  de  transacciones  es  a 
todas  luces  insuficiente. 

Aunque  son  muchos  los  factores  en  contra  a  los  que  se  debe  enfrentar  una  entidad  para  implantar  un 
sistema  de  autenticacion  multifactor  y/o  multicanal,  la  mayoria  ajenos  a  la  tecnologia,  la  experiencia 
demuestra  que  cualquier  avance,  por  pequeno  que  sea,  es  significativo  en  la  lucha  contra  el  phishing. 

Un  ejemplo,  las  tarjetas  de  coordenadas  no  dejan  de  ser  un  pseudo  intento  de  OTP  (One-Time  Password) 
primitivo.  A  algunos  le  resultara  contradictorio  que  en  pleno  siglo  XXI  tengamos  que  mirar  una  tarjeta  de 
plastico  y  jugar  a  los  barquitos  para  introducir  una  contrasena.  Pero  las  entidades  que  las  han  implantado 
han  visto  reducir  drasticamente  su  nivel  de  fraude  por  Internet. 

Tampoco  es,  ni  mucho  menos,  la  solution  definitiva.  Sistemas  mas  robustos  que  las  tarjetas  de  coordenadas 
(certificados,  tokens,  canales  alternatives  via  moviles,  etc.)  pueden  ser,  y  seran  atacados,  con  efectividad. 
De  hecho  algunos  de  ellos  ya  son  objetivos  puntuales  en  la  actualidad.  Pero  mientras  existan  entidades 
con  sistemas  mas  debites,  basados  en  el  usuario  y  contrasena  tradicional,  los  atacantes  y  el  phishing  se 
cebaran  en  ellos. 

Resumiendo 
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Es  una  frase  manida,  pero  no  por  ello  le  quita  razon:  la  seguridad  es  un  proceso  continuo.  No  vamos 
a  encontrar  la  solucion  magica  contra  los  ataques  y  el  fraude,  desconfie  de  quien  le  ofrezca  el  producto 
definitivo  y  100%  seguro. 

Tampoco  es  menos  cierto  que  la  seguridad  es  una  responsabilidad  compartida.  Aunque  cada  vez  se  tiende 
a  hacer  los  sistemas  de  seguridad  mas  transparentes  para  el  usuario,  pocos  pueden  resistir  cuando  no  se 
hace  un  uso  responsable  de  la  tecnologia. 

Debemos  de  aprender  a  evolucionar  en  el  tiempo.  Como  usuarios  tendremos  que  informarnos  continuamente 
sobre  las  nuevas  amenazas  que  van  surgiendo,  no  en  vano  la  education  en  materia  de  seguridad  es  una 
las  principales  y  mas  utiles  barreras  contra  los  ataques.  Nos  tocara  tambien  adquirir  nuevos  habitos  y 
adaptarnos  a  nuevas  tecnologias. 

Pero,  sobre  todo,  debemos  exigir  a  los  proveedores  unos  niveles  minimos  de  seguridad  en  todos  los 
sistemas  que  nos  rodean,  desde  la  solucion  antivirus  de  nuestro  PC  pasando  por  la  banca  electronica  de 
nuestra  entidad.  A  dia  de  hoy  muchos  estan  por  debajo  de  lo  que  exige  la  situation  actual. 

Tu  eres  el  usuario,  tu  mandas,  tiiora  de  cambiar?. 


Bernardo  Quintero 


18/12/2006  De  compras  en  el  supermercado  del  malware 

eWeek  publica  una  entrevista  con  Raimund  Genes,  director  de  sistemas  de  Trend  Micro,  en  el  que  desvela 
los  distintos  precios  que  se  pueden  llegar  a  pagar  por  exploits  para  vulnerabilidades  que  todavia  no  han 
salido  a  la  luz.  Como  quien  va  a  al  supermercado,  existen  de  todos  los  tipos,  gustos  y  precios. 

Segun  parece,  Trend  Micro  logro  infiltrase  en  un  especie  de  subasta  donde  se  comercializaba  con 
vulnerabilidades  y  exploits.  Desde  ahi  ha  logrado  tomarle  el  pulso  a  los  baremos  economicos  en  los  que  se 
mueven  las  mafias  informaticas  hoy  en  dia. 

Por  ejemplo,  un  exploit  para  una  vulnerabilidad  no  publica  que  per  mite  ejecutar  codigo  en  Windows 
Vista  ronda  (segun  siempre  declaraciones  de  Genes  para  eWeek)  los  50.000  dolares  (38.100  euros 
aproximadamente).  Para  otros  sistemas,  dependiendo  obviamente  de  su  popularidad  y  de  la  gravedad  de 
las  vulnerabilidades,  los  precios  rondan  los  20.000  a  30.000  dolares,  entre  15.000  y  20.000  euros  mas  0 
menos. 

Uno  de  los  tipos  de  troyanos  mas  habituales  hoy  dia,  los  que  secuestran  maquinas  Windows  que  generan 
todo  ese  spam  que  inunda  los  buzones  (indicador  de  la  eficacia  de  estos  ataques)  se  venden  por  unos  5.000 
dolares  (3.800  euros).  Un  troyano  “a  la  carta”  capaz  de  robar  information  sensible  de  cuentas  online 
puede  ser  comprado  por  1.000  6  5.000  dolares.  Un  troyano  que  permita  construir  todo  un  botnet  se  puede 
comprar  por  5.000  6  20.000  dolares. 

Si  la  idea  de  infectar  y  esperar  beneficios  no  resulta  atractiva,  se  pueden  obtener  directamente  numeros  de 
tarjetas  de  credito  con  su  correspondiente  PIN  por  solo  500  dolares  (380  euros).  Otros  datos  personales 
se  venden  por  entre  80  y  300  dolares  (de  60  a  230  euros). 
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Y  no  solo  malware  y  datos,  segun  Genes,  en  la  subasta  tambien  se  vendlan  licencias  de  conducir  falsas, 
certificados  de  nacimiento,  numeros  de  seguridad  social...  Lo  mas  “asequible”  son  las  cuentas  de  eBay  o 
PayPal,  a  7  dolares  cada  una  (5  euros). 

Si  estos  son  los  precios  que  se  pagan,  los  beneficios  deben  ser  potencialmente  mayores  si  se  sabe  gestionar 
el  producto,  no  hay  duda.  El  conocer  como  aprovechar  una  vulnerabilidad  o  un  troyano  “a  la  carta”  y  por 
tanto  no  detectable  por  la  mayoria  de  antivirus  (a  no  ser  que  posean  unas  excelentes  heuristicas)  supone 
un  ingreso  potencial  de  dinero  que  bien  merece  una  inversion. 

Esto  demuestra  una  vez  mas  que  los  creadores  de  malware  poseen  una  motivation  real  para  la  production 
de  este  tipo  de  codigo.  Que  es  un  “producto”  que  atiende  a  un  mercado  concreto  y  por  tanto  se  rige  por  la  ley 
de  oferta  y  demanda  que  ha  derivado  en  la  situation  actual:  los  niveles  de  infection  por  troyanos  bancarios 
son  altisimos,  han  desaparecido  las  infecciones  masivas  por  un  unico  virus,  se  explotan  nuevas  vias  de 
infection  (MS  Office,  principalmente)  con  numerosos  “o  days”  descubiertos,  VirusTotal  recibe  decenas 
de  nuevos  troyanos  bancarios  al  dia  (la  mayoria  no  detectados)...  todo  buscando  el  maximo  beneficio  y 
rendimiento,  entendiendo  como  tal  un  lucro  real,  tangible,  economico. 

Lejos  estan  los  romanticos  tiempos  de  gusanos  masivos  y  virus  molestos  (pero  inocuos  a  la  postre).  Estamos 
hablando  de  inversion  y  beneficios,  con  el  auge  de  la  banca  online  ha  surgido  una  nueva  posibilidad  de 
negocio,  un  nuevo  nicho  de  mercado  que  no  ha  tardado  en  ser  ocupado  y  que,  tal  es  la  cantidad  de  dinero 
que  mueve,  que  segun  Genes,  este  superaria  ya  al  volumen  que  maneja  el  mercado  de  las  soluciones 
antimalware. 


Sergio  de  los  Santos 
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Capitulo 


ripi  1C  Virustotal  es  un  servicio  de  analisis  de  archivos 

I  l\W  sospechosos  que  permit©  detectar  virus. 

A  |  gusanos,  troyanos,  y  malware  en  general.  Mas 

I  HL  mfnrmarirtn 


Analisis  Buscar  Hashes  Estadisticas  EmailAJploader  Sobre  VT 


Seleccione  un  archivo 


Opciones  de  envio  □  Enviarto  soDre  SSL  ? 


1215907200  - 1247443199 


Durante  este  ano... 


_  Una  entrada  en  el  laboratorio  de  Hispasec,  titulada  “Google,  tel  otro  gran 
hermano?”,  escrita  por  Bernardo,  reflexiona  sobre  los  poderes  que  esta  tomando 
esta  compama  en  la  recopilacion  de  datos  personales  entre  sus  distintos  servicios  de 
Adsense,  busqueda,  Gmail...  Poco  tiempo  despues  (en  cuanto,  precisamente  es  indexado  por  Google)  la 
entrada  se  convierte  en  un  vertedero  de  comentarios  (mas  de  200)  de  personas  que  quieren  participar 
en  el  concurso  televisivo  Gran  Hermano,  tanto  su  version  argentina  como  espanola.  Algunos  agudos 
comentarios  a  la  entrada  son  (literalmente): 

quisiera  participar  en  gran  hermano  5  porque  me  coincidero  una  adolescente  fogosa  quepuede  calentar  la  jy  jy 
pantalla  de  telefe  quisiera  que  me  avisaran  cuando  y  donde  es  el  casting  para  gran  hermano  5 
Posted  by:  paola  pellicciotti  at  abril  24,2007 16:44 

quisiera  saber  si  va  a  ver  otro  gran  hermano  por  que  me  gustaria  hace  el  casting  para  entrar  a  la  casa 
soy  de  camapana  bs  as  tengo  20ahos  y  seria  una  gran  experiencia  experiencia  y  aparte  tengo  cualidades 
para  entrar  en  la  casa  y  seria  un  gran  paso  para  dedicarme  a  lo  que  me  gusta  que  es  la  actuacion  por  favor 
envienmen  lasfechas  y  lugares  donde  se  va  a  hacer  el  proximo  casting  desde  ya  muchas  gracias 
Posted  by:  agustin  lencina  at  abril  26,2007  03:3 

KIERO  PERTICIPAR  Y  TARTAR  DE  JUGAR  ESTEJUEGO  LLENO  DE  HEMOSIONES  ENCONTRADAS  KIERO 
VIVIR  ESA  A  DR  ENA  UNA  DE  ESTAR  ENCERRADA  POR  MESES  CON  GENTE  NUEVA  PARA  CONOCER  Y 
TRATAR  DE  CONOCERME  MAS  A  MIMISMA  BUENO  GRACIAS  YESPERO  ME  NOTIFIKEN  LAS  ULTIMAS 
NOVEDADES 

Posted  by:  KISCHNER  CAROLINA  at  abril  28,2007  04:08 

hola  soy  mary  tengo  15  ahos  casi  cuplo  los  l6pero  me  gustaria  saver  unpoco  mas  de  este proyecto  porque  me 
he  sentido  un  poco  sola  desde  hace  un  tiempo  me  gustaria  que  esto  sea  un  ejemplo  en  mi  vida  y  me  gustaria 
participar  no  tengo  tanta  inspiracion  para  escribir  pero  hablo  un  montonazo.  un  besote  bay 
Posted  by:  mary  martinez 

“  HOLA  GRAN  HERMANO:  me  siento  raro  escribiendo  esto,  pero  QUIERO  ENTRAR  A  LA  LOCURA  DE  ESA 
CASA.. .me  llamo  CRISTIAN  tengo  25  por  favor  manden  info  para  saber  donde  son  los  casting... 

BASTA  DE  MIRAR  POR  LA  TELE  Y DECIR  YO  TENGO  QUE  ESTAR  AHI...AHORA  LLEGO  EL  MOMENTO, 

ACA  ESTOY  TENGO  UNA  HISTORIA  QUE  CONTAR  Y  ESTOY  LISTO  PARA  TODO  LO  QUE  SE  VENGA 
DESPUES... 

GRACIAS  Y  ESTOY  LISTOOOOOOOO 
Posted  by:  cristian  atjunio  15,2007 18:29  " 


2007 


_  Rumania  y  Bulgaria  pasan  a  formar  parte  de  la  Union  Europea.  Cuenta  ya  con  27  paises  miembros. 

_  Un  petrolero  sufre  un  accidente  en  aguas  noruegas,  vertiendo  200  toneladas  de  crudo  en  el 
oceano. 

_  El  17  de  enero  se  adelanta  dos  minutos  el  reloj  del  apocalipsis  (Doomsday  clock).  Se  trata  del  simbolo 
mas  representative  de  peligro  nuclear.  Consiste  en  una  esfera  con  el  mapamundi  grabado  y  dos  agujas  que 
no  corren.  Una,  la  de  las  horas,  esta  permanentemente  fijada  en  las  doce.  La  otra,  la  de  los  minutos,  ha  sido 
movida  en  19  ocasiones  durante  el  ultimo  medio  siglo.  Se  conserva  desde  1947  en  un  edificio  del  campus 
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universitario  de  Chicago,  sede  de  “The  Bulletin  of  Atomic  Scientist”.  Tambien  es  conocido  como  “El  Reloj 
del  Juicio  Final”.  Solo  ha  variado  19  veces  desde  que  se  establecio.  Se  supone  que  la  medianoche  significara 


el  fin  de  la  Humanidad.  Se  rige  por  los  dictados 
de  la  politica  mundial.  Se  estuvo  a  17  minutos  en 
1991  tras  la  firma  de  los  tratados  de  reduction  de 
armamento  entre  la  Union  Sovietica  y  EE.  UU.  En 
1953  tras  las  pruebas  nucleares  llevadas  a  cabo 
por  las  mismas  potencias,  se  estuvo  a  2  minutos 
del  fin. 


Doomsday  Clock:  Minutes  to  Midnight,  1947-2007 


El  10  de  febrero  la  Wikipedia  en  espanol  alcanza  los  200.000  articulos. 


_  Durante  la  segunda  mitad  de  enero  se  sufren  fuertes  lluvias  en  toda  Europa.  En  el  Reino  Unido 
mueren  17  personas.  En  Alemania,  son  13  las  personas  que  se  traga  el  agua.  El  huracan  Kyrill  arrasa  el  Oeste 
de  Europa,  dejando  un  total  de  44  muertos  en  20  paises.  Las  tormentas  serian  la  excusa  para  la  primera 
oleada  del  “Storm  worm”,  que  enviaba  un  spam  con  un  adjunto  prometiendo  fotos  de  los  sucesos. 


_  El  20  de  enero  Microsoft  lanza  Windows  Vista  y  Office  2007  finalmente  al  publico.  Principalmente  por 
la  carencia  o  los  problemas  con  los  drivers,  el  producto  rapidamente  se  gana  fama  de  inestable.  Tambien  de 
devorador  de  recursos  a  causa  de  ciertas  caracteristicas  que,  en  realidad,  acaparan  memoria  para  acelerar 
el  lanzamiento  de  las  aplicaciones.  Por  ultimo,  la  estabilidad  y  comodidad  que  sienten  los  usuarios  de  XP, 
un  sistema  que  fue  publicado  en  2001,  y  que  en  parte  gracias  al  retraso  de  Vista  se  consolida  fuertemente 
durante  los  anos,  hacen  que  el  sistema  operativo  sea  calificado  de  fracaso.  Sin  embargo,  con  respecto 
a  la  seguridad,  supone  una  importante  apuesta  y  mejora  por  parte  de  Microsoft.  Es  el  primer  sistema 
operativo  desarrollado  completamente  dentro  de  su  programa  integral  de  seguridad. 


Sony  saca  a  la  venta  su  nueva  consola,  PlaStation  3,  en  Europa.  Es  la  primera  consola  con 
lector  de  Blu-Ray.  Cuesta  600  euros  en  Espana  (bastante  menos  despues)  y  sus  ventas  son 
muy  discretas  esa  Navidad,  en  parte  por  el  precio,  en  parte  por  la  novedad  con  la  que 

ese  mismo  ano  compite  Nintendo,  la  Wii.  Su  lanzamiento  es 
casi  paralelo.  Es  la  primera  consola  que  contiene  un  mando 
que  permite  detectar  el  movimiento  y  la  rotacion  en  tres 
dimensiones.  Sony  ya  habia  intentado  huir  de  los  mandos 
tradicionales  desde  su  EyeToy  hacia  anos.  Se  trataba  de 
un  periferico  creado  para  la  PlayStation  2.  Basicamente 
una  camara  que  permitia  que  el  jugador  interactuese  con 
lo  que  aparecia  en  la  pantalla.  No  gozo  de  mucho  exito. 
Sin  embargo,  la  Wii  sorprenderia  a  muchos  por  su  precision 
y  novedad.  El  mercado  se  abria  a  jugadores  de  todas  las 
edades  que  podian  desde  disparar  hasta  hacer  ejercicio 
con  la  consola. 


_  Hispasec  lanza  el  20  de  febrero  su  primera  herramienta  gratuita  para  moviles  en  forma  de  aplicacion  Java 
(J2ME),  CryptaMobile.  Se  trata  de  un  pequeno  programa  de  almacenamiento  seguro  de  contrasenas. 

_  En  mayo  desaparece  Madeleine  McCann.  La  nifia  de  tres  anos  esta  de  vacaciones  con  sus  padres  y 
hermanos  en  un  hotel  de  Praia  da  Luz,  en  el  Algarve  de  Portugal  cuando  desaparece.  El  caso  salta  a  los 
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medios  y  los  padres  convierten  el  asunto  en  un  verdadero  acontecimiento  mediatico  con  anuncios,  logotipo 
de  la  campana  de  busqueda  (basado  en  una  mancha  en  el  iris  de  Madeleine,  una  curiosa  caracteristica), 
recibimiento  ante  el  Papa,  recolecta  de  millones  de  dolares  y  apariciones  en  television.  El  mundo  se  vuelca 
y  se  identifica  con  ellos.  Poco  despues  los  acontecimientos  toman  un  giro  inesperado  cuando  los  propios 
padres  se  convierten  en  sospechosos.  No  se  tienen  pistas  fiables  de  secuestro  y  se  encuentra  sangre  en  el 
coche  que  alquilan.  Deben  declarar.  El  caso  se  enturbia  con  ciertas  diferencias  entre  la  policia  portuguesa 
e  inglesa,  que  salen  a  la  luz.  Los  padres  continuan  con  la  busqueda  ahora  con  fondos  privados  pero  desde 
los  medios  son  desde  entonces  rechazados  y  mirados  con  recelo. 

_  Hispasec  dispone  ahora  de  una  pagina  en  ingles,  www.hispasec.com/en/  sin  una-al-dia. 

_  Se  detectan  una  serie  de  ataques  de  denegacion  de  servicio,  coordinados  e  insistentes  contra  la 
infraestructura  de  Internet  de  Estonia.  Muchas  paginas  oficiales  de  ministerios,  servidores  de  correo 
institucionales  y  otras  organizaciones  dejan  de  estar  operativas.  El  ataque  resulta  tan  salvaje  que  el 
gobierno  de  ese  pais  pide  ayuda  a  la  Union  Europea.  Se  especula  mucho  sobre  quien  puede  estar  detras 
de  estos  ataques.  En  principio  se  culpa  a  Rusia,  debido  a  tensiones  diplomaticas  entre  ambos  paises,  pero 
resulta  imposible  determinar  de  donde  proviene  exactamente  el  ataque.  Logicamente  se  trata  de  redes 
distribuidas  de  sistemas  zombi,  repartidas  por  todo  el  mundo.  El  “hacktivismo”  se  pone  de  moda. 

_  El  n  de  marzo  se  publica  una  entrada  en  el  blog  titulada  “Sitio  donde  echar  tu  curriculum”.  En 
ella  Bernardo  cede  un  email  para  quien  quiera  enviar  su  curriculum.  La  persona  detras  de  ese  correo  le 
ofrecio  trabajo  como  director  de  seguridad  y  obviamente  lo  rechazo.  La  entrada  es  indexada  por  Google  y 
en  poco  tiempo,  los  comentarios  se  inundan  con  peticiones  de  empleo  de  lo  mas  extranas,  desde  profesores 
de  education  fisica  hasta  personas  que  buscan  trabajo  “de  cualquier  tipo”. 


Re:  Sitio  donde  echar  tu  curriculum 

hola  busco  trabajo  en  gijon  tengo  16  ahos  en  octubre  cumplo  ly  soi  muy  trabajador  655XXXXXX  llamarme 
Posted  by:  ivan  at  mayo  26,2008 16:51 


Re:  Sitio  donde  echar  tu  curriculum 

holaaaa  todos . busco  trabajo  en  lo  q  sea,  pero  me  gusta  mucho  ser  dependienta  en  tiendas  de  ropa.tengo 

ly  ahos  y  soy  muy  buena  trabajadora  y  simpatica . lo  necesito,  y  soy  una  chica  que  me  encanta  atender  al 

publico. si  quereis  yamarme  al  62y3XXXXXX  6  953XXXXXX. . gracias  y  esrtare  encantada  de  hacer  una 

entrevista  con  ustedes  y  si  es  posible  poder  trabajar.... .gracias  y  un  buen  abrazo  chao 
Posted  by:  rocio  atjunio  25,2008 16:09 


_  Las  bajas  estadounidenses  alcanzan  los  3.500  militares  muertos  desde  la  invasion 
de  Iraq  en  marzo  de  2003. 

_  Se  lanza  en  Estados  Unidos  el  iPhone.  Se  trata  del  telefono  movil  multimedia  mas 
goloso  hasta  la  fecha,  creado  por  Apple,  especialista  en  caprichos.  Tambien  es  el  primer 
movil  totalmente  tactil,  sin  posibilidad  oficial  de  uso  de  puntero.  La  primera  generation, 
que  no  llega  a  Esparia,  es  cuatribanda  GSM.  A  nuestro  pais  llegaria  a  mediados  de  2008 
con  el  firmware  2.0  y  conocido  como  iPhone  3G.  El  anuncio  fue  precedido  por  rumores 
y  especulaciones  que  circularon  durante  varios  meses.  Esto  no  hizo  mas  que  crear 
expectation.  Fue  llamado  por  la  revista  “Time”  el  invento  del  ano  2007. 

_  En  julio  el  senado  de  los  Estados  Unidos  duplica  a  50  millones  de  dolares  la  recompensa  para  quien 
capture  vivo  0  muerto  a  Osama  Bin  Laden.  Sigue  en  libertad  y  amenazando  esporadicamente  al  mundo 
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occidental  siete  anos  despues  de  los  atentados  de  las  Torres  Gemelas. 

_  En  agosto  se  lanza  Google  Earth  Sky,  una  evolucion  de  Google  Earth  centrada  en  el  espacio.  En 
octubre  de  2004  Google  compro  Keyhole,  un  programa  de  pago  que  Google  ofreceria  de  forma  gratuita 
y  llamaria  Google  Earth  a  mediados  de  2005.  Poco  a  poco  aumentaria  sus  servicios  basados  en  la  vista 
en  satelite  de  la  tierra  y  lanzaria  Google  Maps,  con  la  posibilidad  de  calcular  recorridos  y  muchas  otras 
funcionalidades. 

_  El  15  de  agosto  Peru  sufre  un  terrible  terremoto  que  mata  a  mas  de  500  personas  y  deja  1.500 
heridos.  Se  lanza  la  alerta  de  un  posible  tsunami  en  el  oceano  Pacifico. 

_  En  octubre  se  lanza  Ubuntu  7.10. 

_  El  16  de  abril  se  produce  la  masacre  de  Virginia  Tech.  En  el  Instituto  Politecnico  y  Universidad 
Estatal  de  Virginia  (conocido  como  Virginia  Tech),  en  Blacksburg,  Virginia  (Estados  Unidos).  Mueren 
33  personas,  incluyendo  a  Cho  Seung-hui  de  23  anos,  autor  de  la  matanza.  Se  trata  de  un  estudiante 
surcoreano  que  el  mismo  dia  de  la  masacre  envia  a  la  cadena  NBC  unos  videos  donde  aparece  disparando 
en  modo  amenanzante.  Los  videos  se  distribuyen  rapidamente  por  YouTube,  creando  cierta  polemica.  El 
7  de  noviembre  un  estudiante  mata  a  nueve  personas  en  un  instituto  finlandes  tras  anunciar  el  crimen 
en  Internet.  El  dia  antes  el  autor  de  los  disparos  habia  revelado  sus  planes  en  YouTube.  El  video  se  titula 
“Matanza  en  el  instituto  Jokela”.  Muestra  una  fotografia  del  instituto  que  se  rompe.  Luego  aparecen 
dos  imagenes  en  rojo  de  un  joven  que  apunta  a  la  camara  con  una  pistola.  La  historia  se  repetiria  en 
Finlandia  en  septiembre  de  2008.  Matti  Saari  de  22  anos  cuelga  en  YouTube  unos  videos  en  los  que 
aparece  disparando  a  camara  mientras  dice  en  ingles  “Vosotros  sereis  los  proximos  en  morir”.  La  policia 
lo  interroga  un  dia  antes  de  la  masacre  y  decide  que  no  es  necesaria  ninguna  action,  aunque  efectivamente 
posee  una  pistola  Walther  P22  como  aparece  en  el  video  colgado  en  la  red.  Matti  Saari  acude  al  Universidad 
de  Ciencias  Aplicadas  de  Kauhajoki  en  Seinajoki  e  irrumpe  a  tiros  matando  a  10  companeros  y  suicidandose 
luego. 


Seguridad  Informatica 


_  Oracle  anuncia  por  primera  vez  con  antelacion  sus  publicaciones  trimestrales 
de  parches  de  seguridad.  Un  resumen  previo  al  estilo  Microsoft  que  adelanta  el  numero  y 
la  gravedad  de  las  actualizaciones  previstas. 

_  Comienzan  a  enviarse  las  primeras  versiones  de  lo  que  se  conoceria  como  el  “Storm  Worm”.  En 
una  evolucion  sospechosamente  parecida  a  la  de  Bagle  en  2004,  el  virus  comienza  a  inundar  los  buzones 
con  spam  que  hace  referencia  a  las  tormentas  que  sufre  en  ese  momento  el  norte  de  Europa.  Durante 
todo  el  ano,  y  aun  hoy  dia,  comienza  una  evolucion  imparable  en  la  que  pasa  de  ser  un  malware  al  uso  a 
todo  un  sistema  que,  cada  cierto  tiempo,  resurge  modificado  y  en  una  nueva  campana  tematica  de  spam. 
Una  de  sus  caracteristicas  mas  importantes  es  su  capacidad  de  ofrecer  componentes  de  descarga  que 
mutan  con  una  rapidez  asombrosa.  Practicamente  cada  vez  que  se  actualizaba  la  descarga,  se  tenia  un 
troyano  con  distinto  hash  pero  parecida  funcionalidad.  Es  uno  de  los  sistemas  de  malware  mas  complejos 
y  profesionales  que  se  recuerdan. 

_  A  finales  de  enero  se  detecta  un  phishing  hasado  en  la  Agenda  Tributaria  (Hacienda).  No 

ataca  directamente  a  un  banco  (como  viene  siendo  mas  que  habitual).  Lo  que  pretende  es  que  la  victima 
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introduzca  los  datos  de  su  tarjeta  de  credito  para  que  Hacienda  le  devuelva  cierta  cantidad.  Posteriormente 
se  detectarian  todo  tipo  de  phishings  orientados  a  entidades  y  servicios  que  no  son  necesariamente  bancos, 
incluso  destinados  a  robar  contrasenas  de  portales  gratuitos. 

_  El  mes  de  enero,  al  amparo  de  la  moda  de  los  meses  tematicos  dedicados  a  las  vulnerabilidades,  se 
celebra  “El  mes  de  los  fallos  en  Apple”  por  parte  de  LHM  (que  ya  celebro  el  mes  de  los  fallos  en  el 
kernel)  y  Kevin  Finisterre.  Publican  un  fallo  del  sistema  Mac  OS  X  o  programas  integrados  en  el  cada  dia 
durante  ese  mes.  Los  errores  encontrados  salpican  incluso  a  multiples  fabricantes,  como  el  problema  de 
PDF  o  el  reproductor  VLC  Media  Player. 

_  En  unas  honestas  declaraciones,  Natalya  Kaspersky,  consejera  delegada  de  la  compania  especializada 
en  sistemas  antivirus,  reconoce  que  necesita  de  la  ayuda  de  las  fuerzas  del  orden  internacionales  para 
proteger  a  los  usuarios.  Segun  ellos,  los  tiempos  en  los  que  se  podia  controlar  la  situacion  con  los  antivirus 
pertenecen  al  pasado. 

_  El  dia  12  de  febrero  se  da  a  conocer  una  vulnerabilidad  en  Sun  Solaris  10  tan  simple  como 
sorprendente.  El  fallo  permite  el  acceso  trivial  como  cualquier  usuario  (incluido  root)  a  traves  de  telnet 
en  Sun  Solaris  10.  Sin  necesidad  de  conocimientos  especiales,  sin  shellcode  ni  exploits,  el  fallo  llega  a  ser 
vergonzosamente  simple.  Para  colmo,  el  error  fue  ya  descubierto  y  corregido  en  sistemas  UNIX  hacia  13 
anos. 


Michal  Zalewski  se  da  a  conocer  durante  2006  por  su  trabajo  a  la  hora  de  poner  a  prueba 
la  seguridad  de  los  distintos  navegadores.  Descubre  varias  vulnerabilidades  tanto  en 
Internet  Explorer  como  Firefox,  dedicandose  con  especial  hincapie  a  desafiara  este  ultimo 
navegador,  al  que  sabe  buscarle  las  cosquillas.  Entre  otros  fallos,  los  torpedos  de  Zalewski 
(una  serie  de  exploits  que  provocaban  que  el  navegador  dejase  de  responder)  tumban 
el  codigo  de  Firefox  en  varias  ocasiones  incluso  despues  de  aplicar  actualizaciones.  En 
febrero  Zalewski  vuelve  a  anunciar  varios  errores  de  diseno  que  considera  constituyen 
serios  problemas  de  seguridad.  Zalewski  es  fiel  seguidor  de  la  filosofia  de  la  revelacion  total 
de  los  detalles  de  las  vulnerabilidades,  lo  que  obliga  a  la  organizacion  Mozilla  a  retrasar  la 
publicacion  de  la  ultima  actualizacion  para  solucionar  en  ella  algunos  fallos  descubiertos 
poco  antes.  La  vulnerabilidad  por  la  que  Zalewski  llega  a  calificar  a  Firefox  como  “el  mejor 
amigo  de  los  phishers",  no  es  corregida  y  se  publica  Mozilla  Firefox  2.0. 0.2  con,  ademas, 
otros  fallos  conocidos  y  explotables.  Por  si  fuera  poco,  en  una  alerta 
oficial  descolgada  del  resto,  se  anuncia  que  la  ultima  version  2.0. 0.2 
vi  del  navegador  Firefox  tambien  corrige  una  vulnerabilidad  introducida 
V  /  por  un  parche  anterior.  El  parche,  publicado  en  diciembre,  no  solo 
/  no  corregia  el  fallo  que  pretendia  sino  que  empeoraba  la  situacion 
*  y  permitiendo  la  ejecucion  de  codigo  arbitrario. 


_  Microsoft  anuncia  que  en  marzo  no  se  publican  boletines  de  seguridad,  circunstancia  que  no  se 
daba  desde  septiembre  de  2005.  No  significa  que  no  existiesen  fallos  conocidos. 

_  En  marzo,  los  servidores  oficialcs  desde  donde  se  descarga  el  popular  WordPress  son  comprometidos 
en  algun  momento  y  el  codigo  fuente  del  programa  es  modificado  para  troyanizarlo.  Toda  descarga 
producida  desde  el  servidor  oficial  de  WordPress  desde  el  dia  25  de  febrero  hasta  el  2  de  marzo  de  2007  es 
susceptible  de  contener  el  codigo  que  permite  acceso  al  servidor  donde  este  instalado. 
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_  Stefan  Esser  dedica  marzo  al  “mes  de  los  fallos  en  PHP”.  Publica  casi  40  vulnerabilidades  en  31  dias. 
Afortunadamente,  la  mayoria  son  problemas  que  no  pueden  ser  aprovechados  de  forma  remota.  Stefan 
Esser  es  el  creador  de  PHP,  fundador  de  Hardened-PHP  e  impulsor  del  PHP  Security  Response  Team. 
Durante  anos  contribuye  activamente  al  desarrollo  de  PHP  y  considera  que  el  micleo  de  programadores  de 
este  lenguaje  no  esta  concienciado  con  respecto  a  la  seguridad.  Por  ello  decide  crear  el  mes  de  los  fallos  en 
PHP,  como  una  especie  de  desafio  hacia  los  programadores. 


McAfee  da  a  conocer  el  28  de  marzo  una  grave  vulnerabilidad  en  Microsoft  Windows  que 

permite  a  atacantes  ejecutar  codigo  de  forma  totalmente  silenciosa  a  traves  de  web.  Se 
trata  de  un  fallo  en  el  tratamiento  de  archivos  ANI  que  afecta  a  casi  todas  las  versiones 
recientes  de  Windows.  Poco  despues  se  hace  publico  un  exploit  y  los  acontecimientos  se 
precipitan.  Los  ataques  se  incrementan  durante  el  fin  de  semana.  Se  publican  hasta  tres 
parches  no  oficiales  (por  parte  de  ZERT,  eEye  y  X-Solve)  y  el  oficial  de  Microsoft  se  adelanta 
para  salir  el  dia  3  de  abril,  rompiendo  su  ciclo  habitual  de  los  segundos  martes  de  cada 
mes.  El  problema  se  basa  en  una  vulnerabilidad  ya  conocida  y  solventada  (al  parecer  no 
del  todo),  clasificada  con  el  boletfn  MS05-002  por  Microsoft  y  descubierta  inicialmente  por 
eEye.  Los  usuarios  de  Internet  Explorer  7  en  Windows  Vista  no  se  ven  afectados  debido  al 

modo  protegido  de  IE7.  Tampoco  prosperarfan  ataques 
a  traves  de  Microsoft  Outlook  2007. 

Hispasec  publica  poco  despues  un  extenso  analisis 
tecnico  de  la  vulnerabilidad  en  ficheros  ANI  de  Microsoft. 
Ademas,  se  publica  una  prueba  de  concepto  en  la  que 
el  visitante  puede  conocer  la  gravedad  del  problema. 
Con  solo  visitor  una  web  especialmente  dedicada, 
se  descarga  y  ejecuta  desde  Hispasec  un  pequeno 
programa  que  “derrite”  la  pantalla. 


_  En  abril  Sophos  publica  un  informe  con  interesantes  conclusiones  sobre  la  evolution  del  malware  en  los 
ultimos  tiempos.  Se  extrae  que  el  numero  de  nuevas  amenazas  se  han  multiplicado  por  dos  en  el 
ultimo  ano,  y  que  la  web  se  vuelve  el  primer  vector  de  ataque  para  intentar  infectar  a  las  victimas.  Desde 
VirusTotal  y  de  forma  independiente,  llegabamos  a  conclusiones  muy  parecidas. 

_  Se  detecta  una  nueva  tendencia  del  malware  que  mezcla  phishing  y  troyanos.  El  atacante  lanza 
un  troyano  que  haga  capturas  genericas  o  concretas  de  entidades  bancarias.  En  los  equipos  que  logra 
infectar,  el  troyano  va  enviando  al  servidor  las  URLs  y  datos  de  los  formularios  seguros  por  los  que  navega 
el  usuario.  El  atacante  va  examinando  los  datos  que  le  van  llegando  al  servidor,  buscando  entre  las  URLs 
capturadas  webs  de  banca  electronica,  y  prepara  paginas  de  phishing  especificas  en  base  a  las  entidades 
que  mas  se  repiten  entre  los  usuarios  infectados.  Es  la  corriente  rusa.  Desde  el  servidor  indica  a  los 
troyanos  que  cuando  el  usuario  navegue  por  ciertas  paginas  de  banca  los  redirija  a  los  contenidos  de  los 
phishings  que  ha  preparado.  A  partir  de  entonces,  cuando  los  usuarios  infectados  quieren  visitar  la  pagina 
de  su  banco,  el  troyano  los  redirige  a  la  falsa. 

_  A  rebufo  de  los  periodos  tematicos  de  vulnerabilidades,  se  anuncia  en  varias  listas  que  el  dia  2  de 
abril  comenzaria  la  semana  de  los  fallos  en  Windows  Vista.  Incluso  se  publica  una  supuesta 
primera  vulnerabilidad.  Dias  despues  los  autores  destapan  el  engano  y  confiesan  que  todo  se  trata  de  una 
broma,  urdida  alrededor  del  “dia  de  los  inocentes”  anglosajon  y  perfectamente  orquestada  con  alevosia  y 
premeditation.  Aprovechando  el  tiron  mediatico  de  los  periodos  tematicos,  tomaron  a  Vista  como  objetivo, 
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para  hacer  la  broma  mas  atractiva  hacia  quienes  consideraban  su  objetivo  principal:  Los  medios.  Con  solo 
anunciar  su  idea  en  Bugtraq  consiguieron  posicionar  la  pagina  bien  alto  en  Google.  Paginas  especializadas 
y  genericas  pican  y  tragan  el  anzuelo,  a  pesar  de  que  la  vulnerabilidad  publicada  carecia  de  base  tecnica  e 
incluso  incluia  guinos  en  su  description  que  dejaban  claro  que  el  problema  era  inventado. 

_  Se  encuentrauna  vulnerabilidad  en  el  sistema  DNS  de  Microsoft  Windows  que  puede  ser  aprovechada 
por  atacantes  remotos  para  ejecutar  codigo  en  el  sistema.  El  problema  se  debe  a  un  desbordamiento  de 
memoria  intermedia  en  la  implementation  de  la  interfaz  RPC  del  servidor  DNS  (Domain  Name  System) 
de  Windows  a  la  hora  de  procesar  peticiones  mal  formadas  enviadas  a  un  puerto  entre  el  1024  y  5000.  Se 
crean  varios  exploits  que  permiten  aprovechar  el  fallo.  En  especial,  uno  programado  por  Andres  Tarasco  y 
Mario  Ballano  es  capaz  de  aprovechar  la  vulnerabilidad  sin  necesidad  de  tener  acceso  al  rango  de  puertos 
mencionados  en  un  principio  (1024-5000),  sino  que  permite  ejecutar  codigo  a  traves  del  puerto  445. 

_  Hispasec  participa  junto  (pero  no  revueltos)  con  Microsoft  en  una  gira  de  seguridad  liderada  por 
Chema  Alonso  que  consiste  en  una  serie  de  charlas,  conferencias  y  mesas  redondas  en  distintas  ciudades 
de  Espana.  Durante  abril  y  hasta  junio  se  visitan,  entre  otras,  Valladolid:  Bilbao,  Zaragoza,  Pamplona, 
Valencia,  Murcia,  Leon...  Ademas  de  Madrid  y  Barcelona  en  sus  respectivos  “Security  Days”. 


Se  pone  a  disposicion  de  todos  VirusTotal  Uploader.  Una 
pequena  utilidad  para  enviar  muestras  a  VirusTotal.  Una  vez 
instalada  se  anade  la  opcion  “Enviar  a  ->  VirusTotal”  en  el 
menu  contextual  de  Windows.  Cuando  se  envia  el  archivo  se 
obtiene  la  respuesta  del  analisis  a  traves  de  la  interfaz  web. 
Un  ano  despues,  es  seleccionada  por  la  edicion  USA  de  PC 
World  para  pertenecer  a  su  lista  de  “101  Fantastic  Freebies”. 
Se  trata  de  una  prestigiosa  lista  anual  de  101  utilidades  software  gratuitas  (normalmente 
para  Windows)  que  PC  World  recomienda  especialmente.  La  votacion  es  llevaba  a  cabo 
por  lectores  y  personal  de  la  propia  revista. 
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Las  categorias  contempladas  son: 

Productivity  (productividad),  File  Sharing  and  Storage 

(almacenamiento  y  comparticion  de  ficheros).  Security  _ 

(seguridad).  System  Backup  and  Utilities  (respaldo  de 

sistema  y  utilidades),  Maps  and  Directions  (mapas  y  direcciones),  Communications 
(comunicaciones).  Time  Management  (manejo  de  tiempo).  Music  (musica).  Desktop 
Customization  (personalizacion  del  escritorio),  News  Readers  (lectores  de  noticias),  Games 
(juegos). 


En  el  apartado  de  seguridad,  “VirusTotal  Uploader”  encabeza  la  lista,  junto 
con  programas  tan  reconocidos  como  Avira  AntiVir  PersonalEdition,  Spyware 
Doctor  Starter  Edition,  Comodo  Firewall  Pro,  TrueCrypt,  Secunia  Personal 
Software  Inspector,  Spamfighter  Pro,  BitDefender  Online  Scanner,  ThreatFire 
Free  y  McAfee  Rootkit  Detective. 

En  mayo  de  2007  la  edicion  americana  de  PC  World  premia  a  VisusTotal, 
dentro  de  los  premios  a  los  100  Mejores  Productos  del  Ano  2007.  Se  reconoce 
a  VirusTotal  como  el  mejor  sistio  web  de  seguridad. 
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_  En  mayo,  Rock  Phish,  grupo  pionero  en  ataques  phishing  en  el  mundo  y  responsable  de  la  mayoria 
de  ellos,  dispara  el  numero  de  ataques  eludiendo  leyes  y  contramedidas  tecnicas.  Segun  algunas  fuentes 
Rock  Phish  no  es  mas  que  un  kit  de  desarrollo  de  phishing  rapido  para  inexpertos.  Sin  embargo  Rock 
Phish  es  tambien  una  de  las  bandas  mas  peligrosas  y  efectivas  a  la  hora  de  crear  ataques  fraudulentos 
de  robo  de  credenciales.  Por  ejemplo,  tienen  la  capacidad  de  crear  multiples  y  unicas  URL  para  cada 
ataque,  muy  complejas  (es  una  de  sus  senas  de  identidad)  que  limitan  de  forma  muy  eficaz  la  labor  de 
las  barras  antiphishing  basadas  en  listas  negras.  Ademas,  actuan  a  lo  grande,  pues  son  responsables  de 
aproximadamente,  mas  de  la  mitad  de  todo  el  phishing  creado  en  el  mundo  en  esos  momentos. 

_  En  mayo  se  detecta  Badbunny,  una  prueba  de  concepto  que  aprovecha  las  macros  de  OpenOffice.  Se 
trata  de  malware  sin  repercusion.  Trata  de  descargar  una  imagen  JPG  que  representa  a  un  senor  vestido 
de  conejo  realizando  un  acto  sexual.  Lo  curioso  de  este  malware  es  que  se  distribuye  a  traves  de  un 
documento  OpenOffice  Draw  (badbunny.ODG)  que,  segun  el  sistema  operativo  donde  se  ejecute,  intenta 
infectar  de  diferentes  formas. 

_  Robert  Alan  Soloway,  un  importante  spammer  de  27  anos  responsable  de  una  buena  parte  del  correo 
basura  mundial,  es  sentenciado  por  un  juzgado  de  Seattle  y  se  enfrenta  a  una  pena  de  hasta  65  anos  de 
carcel  por  fraude,  robo  de  credenciales  y  blanqueo  de  dinero.  Aunque  se  supone  una  buena  noticia,  ni 
experiencias  previas  ni  el  estado  actual  de  la  industria  del  malware  hacen  pensar  que  la  situation  para  los 
que  sufren  el  spam  vaya  a  cambiar  demasiado,  como  efectivamente  ocurriria.  El  spam  es  cada  vez  mas 
responsabilidad  de  las  redes  de  zombis  y  menos  de  spammers  profesionales.  El  spam  es  todavia  uno  de 
los  pilares  de  la  industria  del  malware.  Como  en  la  naturaleza,  en  cuanto  un  nicho  queda  vacio,  alguien  al 
acecho  no  tarda  en  ocuparlo.  Ley  de  la  jungla  en  Internet. 


En  junio  siguen  las  campanas  de  envlo  del  “Storm  worm”,  mas  virulentas  si  cabe. 
Practicamente  ningun  antivirus,  a  estas  alturas,  se  pone  de  acuerdo  ya  con  los  nombres 
de  las  variantes.  Ocurriria  ya  habitualmente  con  todo  el  malware:  clasificarlo  de  forma 
efectiva  bajo  un  nombre  concreto  es  imposible.  Se  recurre  a  los  nombres  genericos  de 
familias  completas  y  aun  asi  es  complicado  encontrar  nombres  iguales  en  las  distintas 
casas.  Hace  tiempo  que  no  se  recuerda  una  epidemia  tan  duradera.  Si  bien  no  se  percibe 
igual  que  en  los  tiempos  del  Klez,  Code  Red,  Nimda  o  MyDoom,  los  niveles  de  infeccion 
pueden  ser  parecidos.  Y  no  se  percibe  igual  porque  ya  no  es  solo  que  el  Storm  Worm 
mute  con  nuevas  versiones,  sino  que  se  convierte  en  un  complejo  sistema  multi-modular 
que  se  sirve  de  cientos  de  servidores  comprometidos  o  no,  una  capacidad  de  mutacion 
endiablada,  y  una  modularidad  que  permite  que  sus  funcionalidades  cambien  continua 
y  radicalmente.  Storm  Worm  ya  no  se  podria  clasificar  como  un  troyano  sino  como  un 
complejo  sistema  perfectamente  orquestado,  cambiante  y  eficaz.  Muy  al  estilo  malware 
2.0.  En  septiembre,  Microsoft  incluye  la  firma  de  un  componente  de  Nuwar  (como  lo  ha 
bautizado)  en  su  “Malicious  Software  Removal  Tool”.  En  15  dias  elimina  el  troyano  de 
274.000  maquinas. 


_  La  compania  antivirus  Sunbelt  da  la  voz  de  alarma  a  finales  de  marzo.  Se  utiliza  contra  ella  un  tipo  de 
ataque  personalizado  que  rompe  las  reglas  habituales  del  spam  masivo,  impersonal  y  poco 
sofisticado.  Una  supuesta  carta  de  la  BBB  (Better  Business  Bureau),  perfectamente  personalizada  y 
redactada,  insta  a  la  ejecucion  de  un  programa.  Al  parecer  este  malware  infecta  a  mas  de  1.400  directivos. 
En  el  correo  se  explica  que  alguien  ha  interpuesto  una  queja  contra  la  compania  y  se  pide  la  descarga 
de  una  supuesta  imagen  que  resulta  en  realidad  un  ejecutable.  BBB  es  una  organization  americana  que 
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arbitra  entre  usuarios  y  consumidores,  una  especie  de  oficina  del  consumidor.  En  el  correo  electronico, 
con  una  cuidada  ortografla,  se  menciona  con  nombres  y  apellidos  a  personas  reales  pertenecientes  a  la 
empresa  (habitualmente  directivos),  de  forma  que  la  primera  impresion  es  que  la  acusacion  interpuesta 
puede  ser  real  y  que  verdaderamente  alguien  se  ha  quejado  de  los  servicios  de  la  compama.  En  otras 
versiones  todavla  mas  sofisticadas  de  la  estafa,  se  usa  un  documento  RTF  adjunto  en  el  que  se  incrusta  un 
objeto  OLE  que  no  es  mas  que  un  archivo  ejecutable. 

_  El  dla  7  de  junio,  se  descubre  una  grave  vulnerabilidad  en  unos  ActiveX  de  Yahoo!  Messenger 
que  permite  la  ejecucion  de  codigo  arbitrario  a  traves  de  la  web.  El  codigo  necesario  para  aprovechar  el 
problema  se  hace  publico,  y  obliga  a  Yahoo!  a  publicar,  apenas  unas  horas  despues,  una  nueva  version  de 
su  producto.  Hispasec  ofrece  una  prueba  de  concepto  para  que  cualquiera  pueda  comprobar  a  que  se  esta 
expuesto  con  esta  vulnerabilidad.  Posteriormente  Yahoo!  tomaria  la  precaucion  de  activar  los  kill  bits  de 
muchos  de  sus  ActiveX  a  traves  de  actualizaciones  oficiales  de  Microsoft. 

_  MySpace  se  convierte  en  el  mes  de  junio  en  el  objetivo  primordial  de  ataques  phishing  perpetrados 
por  la  banda  bautizada  como  Rock  Phish.  Cientos  de  miles  de  paginas  creadas  cada  dia  para  engahar  a  los 
usuarios  de  esta  red  social. 

_  Se  populariza  el  spam  en  formato  PDF,  en  un  intento  (exitoso,  pero  poco  duradero)  por  evitar  los 
filtros  antispam.  Este  tipo  de  ficheros  no  estan  contemplados  por  las  soluciones  antispam  y,  durante  algunas 
semanas,  se  tragan  sin  marcar  como  basura  este  tipo  de  archivos.  Para  dificultar  su  deteccion,  incluso 
incluye  imagenes  borrosas  dentro  de  los  propios  archivos  PDF.  Poco  despues  llega  una  nueva  variante  muy 
similar  pero  que  utiliza  la  extension  .FDF  en  los  archivos  adjuntos.  El  ataque  remitiria  cuando  los  filtros 
antispam  se  actualizaron.  Pocos  meses  despues  volveria  a  intentar  el  envio  de  PDF  pero  esta  vez  seria  para 
aprovechar  una  vulnerabilidad  en  el  lector  Acrobat  Reader. 


En  julio  VirusTotal  se  presenta  con  nueva  imagen.  Desde  su 
estreno  en  junio  de  2004,  el  portal  no  habfa  sufrido  cambios 
esteticos  destacables.  Si  bien  su  sistema  de  funcionamiento 
ha  evolucionado  considerablemente  desde  sus  comienzos, 
VirusTotal  se  renueva  ademds  con  una  imagen  mucho 
mas  limpia,  sencilla  y  moderna.  Alcanza  en  solo  tres  anos 
un  puesto  muy  reconocido  entre  los  profesionales  de  la 
seguridad.  Son  muchos  los  CERTs,  laboratories,  portales  y 
usuarios  en  general  que  hacen  uso  diario  de  VirusTotal  para 
el  analisis  de  muestras  sospechosas.  Se  ha  convertido  en  el 
estandar  “de  facto"  como  herramienta  para  comprobar 
el  estado  de  deteccion  del  malware  por  parte  de  los 
diferentes  motores  antivirus.  Curiosamente  desde  sus  inicios,  e  independientemente  del 
numero  de  muestras,  los  porcentajes  se  han  mantenido  estables.  El  70%  de  las  muestras  son 
detectadas  como  malware.  Desde  2005  ademds,  un  30%  de  esa  cantidad  es  detectado 
como  malware  espedfico  para  robar  contrasenas  de  banca  electronica. 
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_  El  verano  es  duro  para  los  navegadores.  Durante  estos  dias,  se  descubren  varias  vulnerabilidades 
en  (casi)  todos  los  navegadores,  ademas  de  problemas  en  conectores  (plugins)  tan  habituales  en  ellos  como 
Java  y  Flash  Player. 
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_  Un  investigador  anonimo  dice  haber  programado  un  gusano  para  Mac  OS  X,  el  sistema  operativo  de 
Apple.  El  gusano  aprovecharia  una  vulnerabilidad  todavia  no  parcheada  que  el  mismo  ha  descubierto.  El 
codigo  no  se  hace  publico,  por  lo  que  parece  que  Rape.osx  (nombre  con  el  que  se  ha  bautizado  el  supuesto 
gusano)  tiene  mas  de  mediatico  que  de  proeza  tecnica. 

_  En  julio  se  descubre  un  fallo  en  la  prediction  de  identificadores  de  transaccion  en  BIND. 

Podria  ser  aprovechado  por  un  atacante  para  envenenar  la  cache  DNS.  Un  atacante  podria  averiguar  por 
analisis  criptografico  aproximadamente  un  10%  de  identificadores  de  consulta.  Suficiente  para  realizar 
un  ataque.  El  problema  se  basa  en  que  los  identificadores  no  son  calculados  con  la  suficiente  aleatoriedad. 
Este  eterno  problema  de  los  servidores  DNS  volveria  con  muchisima  mas  fuerza  en  el  verano  de  2008. 

_  La  rama  8.x  de  BIND,  uno  de  los  servidores  de  nombres  mas  populares,  deja  de  ser  mantenida  por 
el  ISC  (Internet  Systems  Consortium).  No  se  publican  mas  parches  de  seguridad  para  esta  version.  Sus 
esfuerzos  de  desarrollo,  a  partir  de  ahora,  se  centran  en  la  rama  9.x. 

_  Sourcefire  (compania  de  Martin  Roesh,  el  creador  de  Snort)  anuncia  la  compra  de  ClamAV  a  los 
cinco  lideres  del  popular  proyecto  “open  source”.  Como  era  de  esperar,  el  anuncio  suscita  todo  tipo  de 
reacciones  en  la  comunidad  ClamAV.  El  antivirus  se  mantendria  sin  demasiados  cambios. 

_  La  pagina  web  del  banco  de  la  India  es  atacada  de  alguna  forma  y  se  convierte  en  foco  (involuntario) 
de  infection  para  usuarios  de  Windows  que  no  tengan  su  sistema  actualizado.  Visitando  la  pagina  web 
legitima  y  real  del  banco,  el  usuario  queda  ironicamente  infectado  por  varios  troyanos  bancarios  destinados 
a  robar  sus  contrasenas  de  acceso  a  la  banca  online.  Esta  tendencia  se  repetiria  hasta  la  saciedad.  Vulnerar 
la  seguridad  de  sitios  web  conocidos  e  incrustar  codigo  que  permite  aprovechar  algun  fallo  es  una  tecnica 
que  seria  usada  de  ahi  en  adelante  cada  vez  con  mayor  eficacia. 

_  A  finales  de  agosto,  alguien  apodado  Egerstad  desde  Suecia,  publica  en  su  blog  las  contrasenas  de 
cien  cuentas  de  correo  pertenecientes  a  instituciones  gubernamentales  de  todo  el  mundo. 

Fueron,  paradojicamente,  obtenidas  a  traves  del  popular  TOR,  una  red  para  hacer  anonimo  el  trafico  en 
Internet.  El  atacante  creo  un  nodo  TOR,  algo  a  disposition  de  cualquiera,  y  lo  ofrecio  a  la  comunidad. 
Gracias  al  uso  de  TOR,  con  el  que  sus  “victimas”  se  sentian  seguras,  Egerstad  consiguio  esta  information 
confidencial  que  colgo  en  su  web. 

_  Hispasec  esta  en  el  “Roll  of  honour”  de  los  phishers.  En  el  Antiphishing  Working  Grupo  (APWG)  se 
hace  publico  uno  de  los  scritps  encontrados  en  una  pagina  de  phishing.  En  una  “lista  negra”  de  hosts,  tal 
que  asi: 

$IP  =  getenv(“REMOTE_ADDR”); 

$host  =  gethostbyaddr($IP); 

$banhosts  =  array(“scotiabank”, ’’netcraft.com”,  “ebay.com”,  “panda.com”, ’’microsoft.com”,  “fbi.gov”, 
“google.com”,  “msn.com”,  “yahoo.com”,  “cia.gov”,  “$resuelveserver”,  “bankofamerica”,  “mozilla”, 
“viabcp”,  “veritas”,  “nod32”, ’’antipishing”, ’’kapersky”,  “norton”,  “Symantec”,  “rsasecurity”,  “bancopopular”, 
“paypal”,  “unicaja”,  “movistar”,  “banesto”,  “cajamadrid”,  “bancopastor”,  “rsa.com”,  “symantecstore”, 
“gfihispana”,  “fraudwatchinternational”,  “verisign”,  “markmonitor”,  “anti-phishing”,  “pandasoftware”, 
“delitosinformaticos”,  “zonealarm”,  “alerta-antivirus”,  “vsantivirus”,  “nortonsecurityscan”,  “hauri-la”, 
“cleandir”,  “trendmicro”,  “mcafee”,  “nod32-es”,  “pandaantivirus”,  “free-av”,  “grisoft”,  “bitdefender- 
es”,  “sophos”,  “activescan”,  “avast”,  “bitdefender”,  “trendmicro-europe”,  “clamav”,  “clamwin”,  “eset”, 
“symantecstore”,  “f-secure”,  “hispasec”,  “vnunet”,  “seguridad”,  “security”,  “monitor”,  “detector”); 
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aparece  el  nombre  de  Hispasec.  La  idea  de  los  atacantes  es  que  si  se  visita  el  sitio  phishing  desde  una  IP 
cuya  resolution  inversa  contenga  alguna  de  esas  cadenas,  en  vez  de  visualizar  la  pagina  fraudulenta,  el 
servidor  devuelve  un  error  404.  En  definitiva,  un  intento  para  bloquear  el  phishing  y  dificultar  su  detection 
temprana  o  que  se  tomen  medidas  de  cierre. 

_  La  FIA  (Federacion  Internacional  de  Automovilismo)  publica  en  su  web  las  transcripciones 
de  las  reuniones  sobre  el  caso  de  espionaje  Ferrari  vs.  McLaren.  Antes  de  su  publication,  el  borrador 
del  documento  fue  revisado  por  Ferrari  y  McLaren  para  que  indicaran  el  contenido  confidencial  que  los 
protagonistas  revelaron  en  sus  declaraciones,  como  por  ejemplo  datos  sensibles  o  relativos  a  su  tecnologia, 
cuyo  conocimiento  precisamente  desata  la  investigacionn  y  posterior  sancion.  La  FIA  lo  publica  en  su 
servidor  web  en  formato  PDF.  La  visualization  del  documento  muestra  algunas  porciones  del  texto  ocultas 
por  un  rectangulo  negro  superpuesto,  pero  el  texto  original  continua  ahi  debajo,  al  alcance  de  cualquiera, 
a  golpe  de  raton. 

_  Se  publica  una  potencial  vulnerabilidad  en  Adobe  Acrobat  Reader  que  podria  permitir  a  un 
atacante  ejecutar  codigo  arbitrario.  Su  descubridor  no  da  detalles  sobre  la  vulnerabilidad,  pero  afirma 
que  un  atacante  podria  fabricar  un  archivo  PDF  especialmente  manipulado  y  hacer  que  se  ejecute  codigo 
arbitrario  en  Windows  si  es  abierto  con  Adobe  Acrobat  Reader.  El  autor  es  el  mismo  investigador  (Petko 
D.  Oetkov)  que  da  a  conocer  dias  atras  la  vulnerabilidad  en  QuickTime  Player  a  traves  de  Firefox.  Seria 
aprovechada  activamente  por  atacantes  para  descargar  un  ejecutable  e  infectar  sistemas. 

_  Microsoft  decide,  despues  de  un  ano,  hacer  que  la  version  7  de  su  navegador  este  disponible 
libremente  para  todo  el  mundo,  independientemente  de  que  su  Windows  demuestre  ser  “genuino”  y 
original. 

_  En  octubre  se  bate  el  record  de  archivos  procesados  por  VirusTotal  en  24  horas.  Se  superan 
las  40.000  muestras  procesadas  por  VirusTotal  en  24  horas.  17  analisis  por  segundo.  El  record  volveria  a 
ser  roto  poco  despues.  En  noviembre  se  establecen  los  permalinks  para  VirusTotal.  Con  ellos  se  puede 
almacenar  para  siempre  un  enlace  con  el  resultado  de  una  muestra  enviada. 

_  El  malware  en  forma  de  supuesto  codec  parece  “consolidadarse”  contra  usuarios  de 
Mac.  Sigue  la  “moda”  de  introducir  malware  en  los  sistemas  usando  como  reclamo  la  necesidad  de  codecs 
especificos  para  poder  reproducir  un  video.  Estos  codecs  suelen  ser  ejecutables  para  Windows,  aunque 
tambien  los  sistemas  Mac  se  ven  afectados.  Usan  el  user-agent  del  navegador  para  distinguir  que  sistema 
operativo  visita  la  web  y  descargar  el  malware  correspondiente. 

_  En  Hispasec  se  detecta  un  ataque  phishing  a  gran  escala  contra  entidades  bancarias 
espanolas  que  ademas  intenta  troyanizar  el  sistema.  El  kit  de  phishing  afecta  a  35  organizaciones,  todos 
en  un  mismo  servidor. 

_  En  noviembre  se  realiza  un  envio  masivo  de  un  mensaje  que  invita  a  visualizar  un  supuesto  video 
en  YouTube.  El  reclamo  en  esta  ocasion  es  reproducir  el  celebre  incidente  entre  el  Rey  de  Espana  y  el 
Presidente  de  Venezuela.  c'.Por  que  no  te  callas?  Esta  tecnica  se  haria  bastante  popular  con  otros  temas 
de  moda. 

_  Se  encuentra  una  vulnerabilidad  en  un  software  preinstalado  en  muchos  portatiles  HP. 

Al  tratarse  de  un  ActiveX,  el  usuario  de  estos  portatiles  que  utilice  el  software  por  defecto  del  fabricante 
y  que  visite  con  Internet  Explorer  alguna  pagina  especialmente  manipulada,  podria  ejecutar  codigo 
inadvertidamente. 
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_  Un  informe  de  la  empresa  de  investigation  de  mercado  Gatner  habla  de  unas  perdidas  de  3.200 
millones  de  dolares  por  culpa  del  phishing  en  2007.  El  informe  pone  cifras  al  phishing  “traditional”, 
contabilizando  desde  agosto  de  2006  a  agosto  de  2007  y  centrado  en  Estados  Unidos. 

_  En  Hispasec  se  detecta  un  nuevo  metodo  de  fraude  bancario  que  aprovechaba  vulnerabilidades  de 
routers  para  realizar  un  pharming.  Consiguen  modificar  los  DNS  del  ordenador  a  traves  de  fallos  en  los 
parametros  del  router.  Se  centran  en  Banamex. 


Una  al  dia 


22/01/2007  El  mediatico  troyano  de  la  tormenta  y  las  lecciones  no 
aprendidas 

“Storm  Worm”  o  “Storm  Virus”  se  ha  popularizado  en  las  ultimas  horas  como  malware  de  rapida 
distribution  que  ha  llegado  a  miles  de  sistemas.  Lo  oportuno  del  asunto  original  con  el  que  aparecia  en  los 
buzones  (haciendo  referenda  a  la  tormenta  que  ha  azotado  Europa),  ha  provocado  que  muchos  usuarios  lo 
ejecuten  y  queden  infectados.  Resulta  llamativa  su  capacidad  de  infection  teniendo  en  cuenta  que  “Storm” 
es  un  malware  con  un  metodo  de  infection  “de  manual”,  tradicional  y  sin  ninguna  capacidad  tecnica  que 
llame  la  atencion. 

El  viernes  F-Secure  alertaba  de  una  rapida  propagation  de  un  troyano  llamado  por  algunas  casas  Small. 
DAM  (mas  conocido  como  “Storm”),  que  llegaba  a  traves  del  correo  electronico.  En  la  noticia  publicada 
(acompanada  de  un  mapa  del  mundo  muy  vistoso)  se  podian  seguir  a  traves  de  luces  parpadeantes  la 
velocidad  de  infection  del  malware  en  cuestion. 

Tecnicamente  hablando  Small.DAM  no  aporta  nada  nuevo,  ni  en  su  tecnica  de  expansion  ni  en  su  daho 
potencial:  Es  una  variante  de  Small,  es  un  “downloader”  para  sistemas  Windows,  instala  un  nuevo  servicio 
y  tiene  propiedades  de  puerta  trasera  con  lo  que  el  sistema  quedaria  a  disposition  de,  probablemente,  un 
operador  de  botnet.  Nada  que  destacar  hasta  el  momento. 

La  version  original  detectada  el  viernes  19  de  enero  se  propagaba  a  traves  del  correo,  en  un  archivo  adjunto 
ejecutable  para  sistemas  Microsoft  (.exe)  y  con  asuntos  como: 

*  230  dead  as  storm  batters  Europe  (230  muertos  en  una  tormenta  que  arrasa  Europa) 

*  Saddam  Hussein  alive!  (iSaddam  Hussein  vivo!) 

Y  adjuntos  con  la  carga  maliciosa  con  nombres  como: 

*  Full  Clip.exe 

*  Full  Story.exe 

*  Read  More.exe 

*  Video.exe 

Un  ejemplo  “de  libro”  sobre  ingenieria  social  sencilla  a  la  hora  de  intentar  enganar  a  los  usuarios.  Este  virus 
no  ha  necesitado  aprovechar  ningun  tipo  de  vulnerabilidad,  esconderse  bajo  extensiones  aparentemente 
inofensivas,  ni  partir  de  una  familia  previamente  no  detectada  de  malware.  Simplemente,  ha  usado  una 
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noticia  actual  y  suficientemente  morbosa  (la  promesa  de  un  video  sobre  los  que  han  sufrido  mortalmente 
el  temporal  o  la  hipotesis  de  un  dictador  vivo  cuando  medio  mundo  ha  presenciado  su  ejecucion)  para 
conseguir  cierto  exito  y  propagarse  sin  dificultad.  Una  muestra  mas  del  eslabon  mas  debil  de  cualquier 
cadena  de  seguridad:  el  usuario. 

Ante  el  exito,  la  pista  se  pierde.  En  las  ultimas  horas  han  aparecido  decenas  de  variantes,  con  nuevos 
asuntos,  adjuntos  y  carga  vinca.  En  sus  ultimos  analisis,  se  observan  inclusos  comportamientos  de  rootkit 
para  ocultarse  en  el  sistema. 

Las  ultimas  actualizaciones  de  la  mayoria  de  los  antivirus  estan  anadiendo  a  marchas  forzadas  firmas  para 
detectar  las  muchas  variantes  producidas.  Se  recomienda  en  cualquier  caso,  aplicar  el  sentido  comun  y  no 
ejecutar  archivos  ejecutables  no  solicitados.  Si  los  administradores  todavia  no  lo  han  hecho,  se  deberian 
descartar  los  archivos  ejecutables  a  nivel  de  pasarela  de  correo. 

Sorprende  (y  decepciona)  que  acudir  a  tecnicas  de  propagacion  tradicionales  y  carentes  de  imagination 
como  este  malware  (que  confia  solo  en  el  poder  de  un  asunto  llamativo  para  su  propagacion),  resulte  exitoso 
a  estas  alturas.  Es  una  lection  que,  por  repetition  desde  hace  ya  muchos  anos,  creiamos  aprendida. 

Sergio  de  los  Santos 


06/02/2007  Kaspersky  reconoce  que  no  puede  hacer  milagros 

En  unas  honestas  declaraciones,  Natalya  Kaspersky,  consejera  delegada  de  la  compania  especializada 
en  sistemas  antivirus,  reconoce  que  necesita  de  la  ayuda  de  las  fuerzas  del  orden  internacionales  para 
proteger  a  los  usuarios.  Segun  ellos,  los  tiempos  en  los  que  se  podia  controlar  la  situation  con  los  antivirus 
pertenecen  al  pasado. 

ComputerWorld  recoge  unas  sorprendentes  declaraciones  de  una  de  las  companias  antivirus  mas 
reconocidas  mundialmente.  En  ellas  piden  la  cooperation  de  la  policia  inter nacional:  “No  tenemos  las 
soluciones.  Pensamos  que  era  posible  realizar  antivirus  y  eso  ofrecio  una  protection  adecuada.  Ya  no  es 
asi”.  “Solucionar  el  problema  esta  mas  alia  de  las  capacidades  de  los  fabricantes  de  productos  de  seguridad 
en  solitario.  Se  necesitan  esfuerzos  coordinados  entre  los  paises”. 

Desde  Kaspersky  tambien  reconocen  que  estan  abrumados.  “La  compania  tiene  a  50  ingenieros  analizando 
el  nuevo  malware  y  buscando  formas  de  bloquearlo,  pero  con  200  nuevas  muestras  por  dia,  y  en  aumento, 
el  trabajo  se  hace  arduo”.  “Ninguna  compania  antivirus  puede  venir  y  decirte  que  puede  manejarlo  todo. 
Consideramos  responsable  hacerlo  saber  a  la  gente  de  forma  tiara.” 

El  “Center  for  Strategic  and  International  Studies”  (que  asesora  a  gobiernos  en  cuestion  de  seguridad),  y 
una  comision  federal  de  comercio  se  uniran  a  Kaspersky  para  hacer  una  llamada  a  las  fuerzas  del  orden, 
para  que  se  involucren  mas  en  la  lucha  contra  los  creadores  y  distribuidores  de  malware.  Intentaran  llega 
a  acuerdos  internacionales  para  crear  las  condiciones  adecuadas  que  permitan  perseguir  a  los  criminales 
a  traves  de  las  fronteras”. 

Reconocen  que  el  exito  de  la  policia  en  este  sentido  ha  sido  limitado,  con  apenas  too  detenciones  por  ano. 
“Solo  los  estupidos  se  dejan  coger.  A  los  listos  es  muy  complicado  encontrarles”,  afirma  Kaspersky. 
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Por  ultimo,  Kaspersky  anade:  “El  software  destinado  a  bloquear  el  malware  es  efectivo,  pero  no  puede 
parar  todos  los  ataques.  Somos  como  la  policia,  nos  perdemos  muchos  casos  pero  hacemos  lo  que  podemos. 
Intentamos  prevenir,  pero  no  podemos  hacer  milagros”. 

Kaspersky  asume  asi  la  nueva  situation  virica  mundial  de  forma  honesta  y  responsable. 

Sergio  de  los  Santos 


13/02/2007  Phishing,  el  “hermano  pobre”  de  los  troyanos 

El  phishing  sigue  siendo  la  practica  fraudulenta  por  Internet  mas  visible  y  reconocida,  ya  que  el  spam  masivo 
de  correos  invitando  a  los  usuarios  a  que  visiten  una  pagina  falsa  puede  ser  detectado  por  cualquiera.  Por 
contra,  de  los  troyanos  especializados  en  el  robo  de  claves  se  saben  que  existen  y  estan  ahi,  aunque  no 
son  tan  reconocidos  ni  se  ven  a  simple  vista.  6Que  tecnica  de  estafa  es  mas  peligrosa?  c.Con  cual  se  estan 
obteniendo  mayores  resultados  y  beneficios? 

Primero  hay  que  dejar  por  sentado  que  si  tanto  phishing  como  troyanos  de  robo  de  contrasenas  siguen 
proliferando  es,  simplemente,  porque  con  ambas  tecnicas  los  estafadores  obtienen  beneficios. 

Las  principales  diferencias  entre  una  tecnica  y  otra,  pensando  en  la  rentabilidad  de  los  estafadores,  son: 

*  Exposition:  como  ya  hemos  comentado  al  inicio,  un  ataque  phishing  tradicional,  no  segmentado  0 
dirigido,  queda  expuesto  a  cualquiera  desde  el  lanzamiento  del  spam,  incluso  en  muchas  ocasiones  se 
aborta  antes  de  que  sea  publico  a  traves  del  spam. 

El  troyano  no  puede  detectarse  antes  de  que  sea  publico  (nos  referimos  a  la  detection  del  sitio  donde 
envian  los  datos,  no  a  la  detection  de  la  muestra  en  si  que  si  puede  ser  detectada  por  un  antivirus  desde 
el  minuto  o),  y  la  distribution  puede  ser  mas  silenciosa  y  pasar  desapercibida  al  no  ser  tan  evidente  como 
un  phishing. 

*  Esperanza  de  vida:  por  la  exposition,  un  ataque  phishing  se  detecta  e  intenta  mitigar/cerrar  desde  el 
primer  momento.  Dependiendo  de  la  insistencia  del  equipo  de  cierre  y  de  la  profesionalidad/colaboracion 
de  los  responsables  del  sitio  donde  se  hospede,  el  ataque  puede  estar  “vivo”  durante  minutos,  horas,  o  a  lo 
sumo  algunos  dias. 

La  esperanza  media  de  vida  de  cada  una  de  las  variantes  de  un  troyano  suele  ser  de  varias  semanas  o 
meses,  dependiendo  de  cuando  es  detectado  por  un  servicio  antifraude  y  se  cierra  el  destino  a  donde  el 
troyano  envia  los  datos. 

*  Alcance:  en  el  phishing  tradicional  cada  ataque  va  destinado  a  una  entidad  en  concrete,  ya  que  tanto  el 
e-mail  como  la  pagina  estan  personalizadas  para  imitar  a  una  determinada  entidad. 

Por  otra  parte,  una  sola  variante  de  un  troyano  suele  dirigirse  a  un  mayor  numero  de  entidades, 
normalmente  varias  decenas,  o  directamente  capturar  datos  de  forma  indiscriminada  que  despues  pueden 
ser  facilmente  filtrados  en  el  servidor  que  recibe  los  datos. 

*  Dificultad:  un  ataque  de  phishing  tradicional  es  relativamente  muy  facil  y  rapido  de  montar  sin  necesidad 
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de  grandes  conocimientos,  lo  que  explicaria  que  aun  no  siendo  tan  productivo  como  un  troyano  siga  siendo 
una  practica  habitual. 

Los  troyanos  conllevan  una  mayor  dificultad  en  su  diseno,  requiere  mas  conocimientos  avanzados  de 
programacion  que  un  phishing,  sin  embargo  tambien  se  esta  popularizando  la  venta  en  foros  underground 
de  kits  de  troyanos  “banker”  que  facilitarian  los  ataques  a  estafadores  menos  preparados. 

*  Calidad:  en  el  phishing  tradicional  son  muchos  los  usuarios  que,  a  sabiendas  de  que  se  trata  de  un  fraude, 
introducen  en  las  paginas  de  phishing  information  falsa  para  confundir  a  los  estafadores.  Por  nuestra 
experiencia,  en  la  que  hemos  accedido  a  servidores  de  phishing,  en  los  datos  introducidos  se  encuentran 
desde  contrasenas  falsas  hasta  mensajes  o  insultos  hacia  los  estafadores,  el  porcentaje  de  information  util 
y  aprovechable  es  pequena,  aunque  suficiente  para  que  sea  rentable  (aunque  los  que  “piquen”  se  puedan 
contar  con  los  dedos  de  una  mano). 

Por  el  contrario,  los  datos  capturados  por  los  troyanos  son  en  su  inmensa  mayoria  autenticos,  ya  que  el 
usuario  no  es  consciente  de  que  de  forma  oculta  los  datos  introducidos  en  las  paginas  webs  legitimas  estan 
siendo  a  su  vez  reenviados  al  servidor  de  los  estafadores.  Ademas  el  volumen  de  datos  recolectados  es  muy 
superior  al  que  puede  lograr  cualquier  ataque  phishing,  de  hecho  los  estafadores  solo  explotan  una  parte 
de  lo  que  capturan  con  este  tipo  de  ataques  (se  centran  en  las  entidades  que  les  ofrecen  “mayores  ventajas” 
a  la  hora  de  hacer  las  transferencias  y  el  blanqueo  a  traves  de  las  mulas). 

Como  ejemplo  de  lo  que  un  troyano  puede  recolectar,  se  pueden  encontrar  datos  de  un  caso  real  en  la 
siguiente  direction  del  blog  del  Laboratorio  de  Hispasec: 

“Un  dia  en  la  vida  de  un  troyano  ‘banker’”: 
http://blog.hispasec.com/laboratorio/195 

Bernardo  Quintero 


21/06/2007  Resaca  del  ataque  masivo  a  traves  de  webs  comprometidas 

El  pasado  dia  19  alertabamos  de  un  ataque  a  gran  escala  contra  webs  europeas,  que  tenia  como  ultimo 
objetivo  robar  las  claves  de  acceso  a  la  banca  por  Internet  de  los  usuarios  que  las  visitaran.  Despues  del 
aviso  el  ataque  fue  neutralizado  en  menos  de  24  horas,  a  dia  de  hoy  podemos  ofrecer  nuevos  datos  sobre 
el  incidente. 

Mas  de  11.000  paginas  webs  fueron  modificadas  para  redirigir  a  sus  visitantes  de  forma  oculta  a  un  tercer 
servidor  web  malicioso.  El  usuario  afectado  en  ningun  momento  era  consciente  de  nada  anormal,  veia  con 
normalidad  la  web  a  la  que  se  habia  dirigido,  toda  la  conexion  maliciosa  se  hacia  en  un  segundo  piano. 

Si  el  usuario  que  visitaba  alguna  de  esas  11.000  webs  lo  hacia  con  una  version  vulnerable  de  Windows 
(si  no  habia  instalado  algunos  de  los  parches  de  seguridad  distribuidos  por  Microsoft  durante  2006), 
automaticamente  se  introducia  en  su  ordenador  un  troyano  que  podia  robarle  las  claves  de  acceso  a  su 
banco  por  Internet. 

Resumen  cronologico 

La  herramienta  utilizada  para  realizar  las  infecciones  a  traves  de  las  webs  comprometidas  fue  MPack 
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0.86.  Esta  herramienta  ya  fue  motivo  de  un  detallado  analisis  por  parte  de  Panda  Labs  el  pasado  mes  de 
mayo,  y  se  viene  utilizando  asiduamente  desde  el  ano  pasado  en  ataques  similares.  Tambien  en  mayo  el 
blog  de  Symantec  Security  Response  dedico  una  entrada  a  las  funcionalidades  de  MPack. 

Websense  alerto  el  dia  18  de  este  mes  sobre  un  ataque  masivo  a  10.000  paginas  webs  basandose  en  la 
herramienta  MPack  0.86.  Hispasec  tambien  pudo  acceder  al  servidor  MPack  utilizado  por  los  atacantes  y 
tener  acceso  a  los  datos  del  incidente  ese  mismo  dia.  Tras  un  avance  en  el  blog  del  Laboratorio  de  Hispasec 
la  madrugada  del  18,  alertamos  el  dia  19  a  traves  del  boletin  una-al-dia  actualizando  y  aportando  nuevos 
datos. 

Al  finalizar  la  jornada  del  dia  19  se  logro  mitigar  el  ataque,  al  desactivar  el  servidor  web  malicioso  al  que 
se  redirigian  los  mas  de  11.000  sitios  webs  comprometidos. 

Los  dias  19  y  20  la  noticia  salto  de  los  circulos  de  seguridad  a  los  medios  de  comunicacion,  y  termino 
acaparando  espacio  en  prensa,  radio  y  television.  Lo  que  mas  llamo  la  atencion  fue  el  numero  de  webs 
comprometidas,  y  el  hecho  de  que  los  usuarios  podian  infectarse  con  tan  solo  visitar  una  web  “normal”.  En 
medios  internacionales  el  protagonismo  se  lo  llevo  la  herramienta  utilidad  en  el  ataque,  MPack. 

Hispasec  en  su  blog  del  Laboratorio  apunto  a  que  las  mas  de  11.000  webs  comprometidas  se  hospedan 
en  un  mismo  proveedor  italiano,  Aruba,  y  que  por  tanto  el  ataque  tan  voluminoso  fue  posible  por  un 
problema  de  seguridad  en  la  infraestructura  del  proveedor  de  hosting.  Hoy,  dia  21,  SANS  Internet  Storm 
Center  publica  una  nota  de  Verisign/Idefense  que  apoya  la  misma  conclusion  que  Hispasec,  y  apuntan  a 
que  el  ataque  al  proveedor  de  Internet  pudo  realizarse  a  traves  de  una  vulnerabilidad  en  la  herramienta 
cPanel  de  administration  web. 

Mientras  continua  la  resaca  informativa  de  este  caso,  a  buen  seguro  se  estan  sucediendo  otros  incidentes 
similares,  incluyendo  los  que  esten  utilizando  la  nueva  version  MPack  0.90.  Entre  las  novedades  de  esta 
version  destaca  el  uso  de  la  vulnerabilidad  ANI,  cuyo  parche  para  Windows  fue  publicado  por  Microsoft 
en  abril  de  2007,  y  que  dota  de  un  mayor  poder  de  infection  a  las  nuevas  webs  comprometidas. 

Tambien  se  incluyen  el  uso  de  vulnerabilidades  de  aplicaciones  de  terceros  muy  difundidas  en  Windows, 
como  WinZip  y  QuickTime,  que  por  norma  general  los  usuarios  descuidan  mas  su  actualization. 

MPack  0.90  tambien  corrige  algunos  problemas  de  seguridad  de  la  propia  herramienta,  que  permitia  que 
empresas  como  Hispasec  pudieran  acceder  a  los  servidores  de  los  atacantes  y  tener  datos  puntuales  sobre 
lo  que  estaba  sucediendo,  motivo  por  el  cual  hemos  podido  informar  con  tanta  precision  sobre  el  alcance 
de  este  ataque  y  ayudar  en  su  mitigation.  Estas  nuevas  mejoras  entorpeceran  conocer  la  envergadura  real 
y  exacta  de  los  nuevos  ataques  que  se  sucedan,  si  bien  la  lucha  se  mantendra  viva  entre  los  atacantes  y  las 
empresas  de  seguridad. 

Moraleja 

Aunque  la  mayoria  de  las  informaciones  se  han  centrado  en  MPack  como  herramienta  de  ataque,  en  Hispasec 
creemos  que  la  lectura  mas  util  del  incidente  va  encaminada  a  concienciar  a  los  usuarios  finales. 

Realizar  una  navegacion  responsable  no  evita  la  posibilidad  de  sufrir  ataques.  Hay  cierta  tendencia  a 
pensar  que  los  usuarios  que  se  infectan  es  porque  necesariamente  han  visitado  paginas  webs  “peligrosas” 
(contenidos  eroticos,  descarga  de  programas  piratas,  cracks,  etc).  Es  cierto  que  visitando  esas  paginas 
puede  existir  mayor  probabilidad  de  infecciones,  especialmente  con  la  instalacion  de  cracks  dependiendo 
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de  la  fuente,  pero  tambien  sucede  en  otras  paginas  webs  con  contenidos  “normales”.  Tambien  hay  que 
desmentir  el  bulo  de  que  la  descarga  de  MP3  0  videos  en  redes  P2P  es  especialmente  peligrosa  desde  el 
punto  de  vista  de  la  seguridad  e  integridad  de  los  sistemas  (pero  esta  es  otra  guerra). 

Este  incidente  es  un  ejemplo  mas  de  que  el  ataque  puede  suceder  en  cualquier  escenario  y  que  por  tanto 
la  solution  no  es  “demonizar”  ciertos  contenidos,  sino  que  lo  primordial  es  concienciar  a  los  usuarios  de 
que  deben  seguir  unas  normas  basicas  de  seguridad  para  prevenir  ser  victimas  de  este  tipo  de  ataques 
automaticos. 

Unas  de  esas  normas  basicas  es  que  deben  mantener  sus  sistemas  puntualmente  actualizados  con  los 
ultimos  parches  de  seguridad.  Los  usuarios  de  Windows  que  hubieran  seguido  esta  sencilla  regia  y 
visitaron  algunas  de  las  11.000  webs  comprometidas,  no  sufrieron  ninguna  infection. 

Navega  por  donde  quieras,  pero  navega  seguro. 


Bernardo  Quintero 


09/07/2007  Los  estafadores  en  Internet,  mas  solidarios  que  nunca 

Symantec  publica  una  noticia  que  puede  resultar  chocante  en  un  principio.  Los  estafadores  en  Internet 
donan  parte  del  dinero  conseguido  con  sus  fraudes  a  proyectos  de  caridad.  Es  una  tendencia  que  se  esta 
observado  y  que,  aunque  parezca  extrano,  tiene  una  explication  razonable. 

La  industria  del  malware  y  la  estafa  en  Internet  mueve  un  volumen  importante  de  numeros  de  tarjetas 
de  credito,  con  los  que  trafican  y  de  los  que  se  benefician  directa  0  indirectamente.  En  los  ambientes 
adecuados,  no  es  complicado  conseguir  numeros  de  tarjetas  de  credito  por  algunas  decenas  de  dolares. 
El  “excedente”  de  information  de  algunas  mafias  es  tal  que,  aparte  de  usarlos  en  beneficio  propio,  pueden 
permitirse  el  vender  algunos  numeros  de  tarjeta  (con  sus  pins  y  codigos  de  seguridad  adicionales),  robados 
a  traves  de  phishing  o  malware. 

La  pregunta  es:  ante  tanto  numero  de  tarjeta  comprado  y  vendido,  dcomo  saber  cual  es  valido?  dcual  se 
mantiene  operativo  y  permite  comprar  realmente  a  traves  de  la  red?  Comprobar  la  validez  de  los  codigos  de 
una  tarjeta  comprando  cualquier  producto  puede  hacer  saltar  las  alarmas.  Para  un  atacante  que  necesita 
pasar  lo  mas  inadvertido  posible,  las  donaciones  de  caridad  se  han  convertido  en  buenas  aliadas 

Los  poseedores  de  los  codigos  robados  traspasan  pequenas  cantidades  de  dinero  a  paginas  de  caridad 
como  por  ejemplo,  la  Cruz  Roja.  Con  esto  se  aseguran  que,  si  la  operation  se  realiza  con  exito,  la  tarjeta 
puede  volver  a  ser  usada  en  compras  mas  “lucrativas”  o  revendida.  Existen  otras  ventajas,  segun  Symantec. 
Los  bancos  pueden  llegar  a  monitorizar  las  transacciones  habituales  de  una  tarjeta,  y  obtener  un  perfil 
de  actuation  “habitual”  de  su  dueno.  Donar  cantidades  a  instituciones  sin  animo  de  lucro  no  es  un 
movimiento  “normal”  para  la  mayoria  de  las  personas,  y  precisamente  ese  caracter  extraordinario  lo  hace 
pasar  por  movimiento  perfectamente  posible  y  ocasional  para  muchos.  Seria  complicado  determinar  si 
una  donation  concreta  es  “sospechosa”  tanto  en  un  usuario  que  la  realice  a  menudo  como  para  quien  no 
lo  tenga  por  norma. 

Ademas,  con  este  tipo  de  donaciones,  voluntarias,  pueden  donar  cantidades  ridiculas  (desde  algunos 
centimos  a  un  dolar)  sin  necesidad  de  comprar  realmente  nada  y  optimizar  asi  los  recursos  invertidos  en 
la  comprobacion  real  de  la  validez  de  la  tarjeta. 
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El  Washinton  Post  no  opina  que  esto  sea  una  nueva  tendencia,  y  recuerda  algunas  situaciones  similares 
anteriores.  Hace  dos  anos,  las  paginas  que  recolectaban  donaciones  para  los  damnificados  por  el  Huracan 
Katrina  ya  obtuvo  una  buena  inyeccion  de  dinero  a  traves  de  este  sistema.  Tambien  recuerda  que  un 
administrador  de  una  campana  presidencial  en  2004  recibio  durante  varios  dias  miles  de  pequenos  pagos 
voluntarios  (de  cinco  centavos)  realizados  con  numeros  de  tarjeta  distintos  y  automatizados  a  traves  de 
sistemas  situados  en  Europa  del  este.  Gracias  a  este  “efecto  colateral”,  recolectaron  hasta  60.000  dolares 
que  finalmente  no  pudieron  quedarse. 

A1  menos,  entre  tanto  trafico  de  datos  y  dinero  ganado  de  forma  fraudulenta,  reconforta  saber  que  algunas 
ONG  e  instituciones  de  caridad  sacan  algun  partido  de  esta  “necesidad”  de  los  estafadores...  aunque  a  los 
duenos  legitimos  de  las  tarjetas  seguro  que  no  les  hace  ninguna  gracia. 


Sergio  de  los  Santos 


09/08/2007  Malware  2.0 

Aunque  no  deja  de  ser  una  etiqueta  de  moda  sin  una  definition  clara,  el  concepto  de  la  Web  2.0  hace 
referenda  a  una  segunda  generation  de  aplicaciones  web  dinamicas  e  interactivas  donde  el  usuario  tiene 
un  mayor  protagonismo  y  participation,  frente  a  las  webs  estaticas  tradicionales  donde  el  usuario  era  un 
receptor  pasivo.  fExiste  tambien  un  nueva  generation  de  malware  2.0? 

Tengo  que  confesar  que  creia  que  iba  a  ser  original  hablando  del  concepto  Malware  2.0,  pero  una  busqueda 
en  Google  me  ha  sacado  de  mi  error.  Hace  menos  de  un  mes  la  empresa  de  seguridad  PC  Tools  utilizo  el 
termino  en  una  nota  de  prensa  donde  hablaba  de  una  nueva  generation  de  malware: 

http://www.pctools.com/news/view/id/181/ 

PC  Tools  hace  referenda  a  caracteristicas  que  llevamos  comentando  tiempo  atras  en  Hispasec: 

*  La  proliferation  de  nuevas  variantes  de  malware  ha  crecido  de  forma  brutal. 

*  Se  utilizan  tecnicas  automaticas  para  ofuscar  las  variantes  y  dificultar  la  identification  por  firmas. 

*  La  estrategia  actual  pasa  por  utilizar  muchas  variantes  en  vez  de  un  unico  especimen  para  llamar  menos 
la  atencion  y  dificultar  una  respuesta  rapida  por  parte  de  la  comunidad  antivirus  (de  ahi  que  llevemos 
bastante  tiempo  sin  ver  un  gusano  de  propagation  masiva  como  el  ILoveYou  y  compania). 

A  continuation,  como  era  de  esperar,  utiliza  este  argumento  para  vender  su  producto  antispyware,  que 
utiliza  tecnicas  adicionales  para  no  depender  en  exclusiva  de  las  firmas  de  detection. 

Aunque  esas  caracteristicas  son  una  realidad  evidente  desde  hace  bastante  tiempo,  mi  idea  del  concepto 
de  Malware  2.0  tiene  mas  analogia  con  la  Web  2.0:  el  uso  de  la  web  como  plataforma  para  la  distribution, 
personalization  del  malware,  y  uso  inteligente  de  los  datos  obtenidos  por  parte  de  los  usuarios  para 
propocionar  “nuevos  contenidos”. 

Para  desarrollar  la  idea  voy  a  utilizar  un  ejemplo  de  ataque  real,  de  los  muchos  que  estan  sucediendo  a  dia 
de  hoy,  destinado  a  los  usuarios  de  banca  electronica: 


Una  al  dia.  Once  anos  de  seguridad  informatica  -  2007  - 


237 


*  Los  atacantes  disenan  un  servidor  web  que  hospeda  el  codigo  malicioso. 

*  Para  atraer  a  potenciales  victimas  anuncian  su  URL  a  traves  de  spam,  en  foros,  comentarios  en  blogs, 
etc.  con  cualquier  excusa  (bien  una  noticia  de  actualidad,  curiosidades,  imagenes  eroticas  o  cualquier  otro 
contenido  potencialmente  atractivo  que  lleven  a  los  usuarios  a  visitar  el  servidor  web  de  los  atacantes). 

*  Cuando  un  usuario  accede  al  sitio  de  los  atacantes,  la  web  comprueba  la  version  del  navegador  del 
visitante  y,  si  es  vulnerable,  devuelve  un  exploit  especifico  para  su  version  del  navegador  que  provoque  la 
descarga  automatica  y  ejecucion  del  troyano. 

*  Si  el  usuario  tiene  un  navegador  actualizado,  utiliza  la  ingenieria  social  para  que  el  usuario  descargue  y 
ejecute  por  si  mismo  el  troyano  (por  ejemplo,  mediante  un  ActiveX,  decirle  que  es  un  video,  o  una  utilidad 
que  requiere  con  cualquier  excusa). 

*  Este  primer  troyano  que  se  descarga  es  un  “downloader”,  que  lo  que  hace  es  instalarse  en  el  sistema 
y  descargar  e  instalar  la  ultima  version  del  troyano  bancario,  asi  como  sucesivas  actualizaciones  que 
pudieran  aparecer  en  el  futuro. 

*  El  troyano  “downloader”  tambien  puede  personalizar  la  version  del  troyano  bancario  que  descarga  en 
funcion  del  sistema.  Por  ejemplo,  si  el  usuario  tiene  una  version  de  Windows  en  espanol,  el  “downloader” 
instalara  en  el  sistema  un  troyano  bancario  disenado  especificamente  para  entidades  espanolas. 

*  El  troyano  bancario  puede  estar  destinado  a  unas  entidades  especificas  o  ser  mas  generico.  En  el  caso  de 
que  tenga  unas  entidades  predefinidas,  si  el  usuario  accede  a  las  webs  de  banca  electronica  reconocidas  por 
el  troyano,  envia  los  usuarios  y  contrasenas  de  acceso  del  usuario  al  servidor  web  para  que  los  atacantes 
puedan  suplantar  su  identidad  y  realizar  transferencias  a  otras  cuentas. 

*  En  el  caso  de  un  troyano  bancario  mas  generico  e  inteligente,  envia  a  un  script  del  servidor  web  de 
los  atacantes  todas  las  URLs  por  las  que  el  usuario  navegue  y  que  comiencen  por  https.  En  el  servidor 
web  tienen  un  listado  de  URLs  de  bancos,  si  alguna  de  las  URLs  que  envia  el  troyano  corresponde  con 
el  listado,  entonces  el  servidor  web  devuelve  al  troyano  una  orden  concreta:  redirigir  al  usuario  a  un 
sitio  de  phishing  de  esa  entidad,  modificar  en  local  la  pagina  web  de  la  entidad  para  que  pida  la  clave  de 
operaciones,  etc. 

*  La  information  de  las  URLs  de  paginas  seguras  (https)  por  la  que  los  usuarios  navegan,  y  que  envian  al 
servidor  web,  sirve  a  los  atacantes  para  disenar  nuevos  ataques  y  actualizaciones  de  su  troyano  bancario. 
Por  ejemplo,  imaginemos  que  en  un  principio  los  atacantes  contemplaban  a  Banesto,  pero  no  al  BBVA. 
Los  usuarios  que  visitaban  la  web  de  Banesto  eran  afectados,  mientras  que  los  del  BBVA  no  porque  el 
servidor  web  no  devolvia  ninguna  orden  concreta  al  no  tener  un  ataque  especifico  preparado.  Los  atacantes 
estudian  periodicamente  las  estadisticas  de  las  URLs  que  se  centralizan  en  su  servidor,  y  comprueban  que 
hay  muchos  usuarios  infectados  que  visitan  la  web  del  BBVA.  Entonces  deciden  crear  una  nueva  version 
del  troyano  bancario  especifico  o  una  pagina  de  phishing  a  la  que  redirigir  a  los  usuarios  infectados  que  la 
proxima  vez  visiten  la  web  del  BBVA. 

Este  filtimo  punto  tiene  cierta  analogia  con  servicios  web  2.0  como  digg.com  o  meneame.net,  si  muchos 
usuarios  visitan  una  pagina  de  un  banco  se  contabiliza  en  el  servidor  de  los  atacantes  como  votos  positivos 
y  termina  por  aparecer  en  portada  (en  este  caso  en  la  lista  negra  de  entidades  para  las  que  desarrollan  un 
ataque  concreto). 
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Como  podemos  ver,  esta  nueva  generation  de  malware  utiliza  la  infraestructura  de  la  web  para  comunicarse 
con  los  sistemas  infectados  de  los  usuarios  y  realimentarse  con  la  information  que  estos  proporcionan, 
aprovechando  esta  inteligencia  colectiva  para  ofrecer  nuevos  contenidos  dinamicos  en  funcion  de  los 
perfiles  de  los  usuarios.  r'.Es tamos  ante  el  malware  2.0? 

Bernardo  Quintero 


08/08/2007  Antivirus:  rendimiento  vs.  proteccion 

El  mundo  de  los  antivirus  esta  en  crisis  tecnica,  que  no  comercial,  sigue  siendo  un  buen  negocio.  Pero  a 
estas  alturas  a  nadie  escapa  que  los  antivirus  a  duras  penas  logran  tapar  parte  de  la  ventana  de  riesgo  de 
infection  a  la  que  todo  usuario  de  Windows  se  expone  en  Internet.  Ante  este  panorama  cabria  pensar  que 
estan  triunfando  los  antivirus  que  mayor  proteccion  ofrecen,  si  bien  la  realidad  es  distinta. 

La  gran  proliferation  y  diversification  del  malware  ha  puesto  en  jaque  a  un  esquema  basado  en  tener 
fichados  a  los  malos:  firmas  para  identificar  al  malware  conocido,  firmas  genericas  para  identificar 
variantes  de  una  misma  familia,  y  heuristicas  basadas  en  la  detection  de  codigo  sospechoso. 

Los  malos  han  ganado  la  partida  en  este  juego.  Modifican  una  y  otra  vez  el  codigo  para  que  las  firmas 
y  heuristicas  existentes  no  puedan  detectarlos,  cambian  la  cara  de  sus  especimenes  para  evitar  ser 
reconocidos  aunque  en  el  fondo  siguen  haciendo  el  mismo  dano.  Lo  hacen  de  forma  tan  masiva  que  los 
antivirus  a  duras  penas  pueden  seguir  el  ritmo  para  actualizarse,  no  dan  a  basto,  estan  saturados.  Es  una 
carrera  sin  final  y  nos  llevan  mucha  ventaja. 

Hay  que  cambiar  de  estrategia.  Visto  que  actualizar  firmas  de  forma  constante  no  es  suficiente,  los 
antivirus  han  optado  por  implementar  nuevas  tecnologias  que  les  permita  mas  proactividad.  El  fin  es 
poder  detectar  el  malware  nuevo,  desconocido  o  variante.  No  depender  de  una  firma  reactiva,  ser  mas 
genericos  y  proactivos  en  la  proteccion. 

Son  varias  las  empresas  antivirus  que  han  arriesgado  en  ese  campo,  incorporando  nuevas  tecnologias  y 
capas  de  seguridad  al  motor  antivirus  traditional,  que  dotan  a  la  solution  de  un  mayor  poder  de  proteccion. 
Pero  no  todos  son  ventajas  a  la  vista  del  usuario,  la  incorporation  de  este  tipo  de  tecnologias  adicionales 
suele  conllevar  tambien  un  software  mas  “pesado”,  que  consume  mas  recursos,  enlentece  el  sistema,  tiende 
a  dar  mas  falsos  positivos  y/o  termina  haciendo  preguntas  incomodas  al  usuario: 

“El  proceso  svchost.exe  intenta  conectar  a  Internet.  fPermitir  0  denegar?” 

iNo  se  supone  que  el  antivirus  debe  saber  si  es  algo  peligroso  0  no?,  dpor  que  me  pregunta  a  mi?.  Despues 
de  una  serie  de  pensamientos  similares,  el  usuario  acabara  por  tomar  alguna  decision  del  tipo: 

.Intentara  averiguar  en  google  que  es  “svchost.exe”  (no  llegara  a  ninguna  conclusion,  y  a  la  segunda  o 
tercera  pregunta  sobre  otros  procesos  desistira  en  la  busqueda  de  la  verdad) 

.Permitir  Todo  (tarde  o  temprano  terminara  infectandose) 

.Denegar  Todo  (dejara  de  funcionarle  algun  software  legitimo) 

.Desinstalar  el  antivirus  e  instalar  otro  que  no  le  haga  perder  tiempo  con  ventanitas  emergentes  y  preguntas 
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que  no  sabe  contestar  (sin  excluir  las  decisiones  anteriores,  el  usuario  suele  terminar  desembocando  en 
este  punto  y  cambiando  de  antivirus) 

Percepcion  del  usuario 

Ahora  tenemos  a  un  usuario  con  un  antivirus  tradicional,  basado  en  firmas,  que  no  incluye  tecnologias 
adicionales,  que  no  enlentece  el  arranque  de  su  sistema,  que  no  le  consume  mucha  memoria,  que  no  le 
importuna  con  preguntas...  tenemos  a  un  usuario  menos  protegido,  pero  un  usuario  que  esta  teniendo  una 
“buena  experiencia”  con  su  antivirus. 

Y  es  que  aunque  teoricamente  un  desarrollador  antivirus  debe  balancear  entre  rendimiento  y  proteccion, 
la  realidad  es  que  el  usuario  solo  puede  percibir  el  rendimiento.  Un  usuario  no  sabe  de  tecnologias,  un 
usuario  no  puede  evaluar  el  grado  de  proteccion  que  le  ofrece  una  solution,  en  la  logica  de  un  usuario  un 
antivirus  debe  protegerle  de  infecciones  y  punto. 

En  los  anos  90  cuando  un  virus  infectaba  el  ordenador  se  notaba  de  inmediato:  borraba  archivos,  mostraba 
imagenes  en  pantalla,  etc.  Cuando  un  usuario  se  veia  infectado  por  un  virus  aun  teniendo  antivirus, 
motivaba  el  cambio  de  producto:  “este  antivirus  no  es  bueno,  ha  permitido  que  me  infecte”.  Pero  ahora  el 
panorama  es  bien  diferente,  el  malware  de  hoy  dia  esta  disenado  para  permanecer  oculto  y  el  mayor  tiempo 
en  los  sistemas  infectados,  sin  dar  senales  de  vida.  Asi  que  el  usuario  seguira  con  la  buena  experiencia  de 
su  “antivirus  ligero”  pese  a  que  su  sistema  este  infectado.  Simplemente,  el  usuario  no  se  entera. 

Lo  que  si  va  a  notar  un  usuario  de  inmediato  es  si  el  antivirus  interfiere  en  su  sistema  y  en  el  trabajo 
diario.  Esa  experiencia  que  si  puede  percibir  de  forma  directa  es  la  que  decanta  hoy  dia  la  evaluation  de 
un  antivirus  y  la  election  final  por  parte  del  usuario. 

La  balanza  por  parte  del  usuario  esta  inclinada  claramente  hacia  un  lado:  el  rendimiento.  Mientras  que 
algunos  antivirus  son  conscientes  de  ello  y  explotan  esta  visibilidad  parcial  por  parte  de  los  usuarios 
para  ganar  mercado,  otros  siguen  intentando  equilibrar  la  balanza,  o  dandole  mas  peso  a  la  proteccion,  y 
perdiendo  clientes  en  el  camino. 

iDeben  las  empresas  antivirus  renunciar  a  ofrecer  una  mejor  proteccion?  Evidentemente  no,  pero  la 
experiencia  del  usuario  debe  ser  un  objetivo  igual  0  mas  importante  si  cabe,  incluso  en  muchas  ocasiones 
tendra  mayor  peso.  De  nada  sirve  disenar  el  antivirus  mas  seguro  si  los  usuarios  no  lo  pueden  utilizar. 
Para  el  usuario  el  mejor  antivirus  no  es  el  mas  seguro,  sino  el  mas  confortable. 

Algunos  ejemplos 

La  pregunta  sobre  el  svchost.exe  me  salto  ayer  mientras  probaba  un  antivirus,  y  no  fue  la  unica  pregunta 
que  hizo.  Es  mas,  despues  de  instalarse,  tras  el  primer  reinicio  del  sistema,  hizo  un  analisis  completo  de 
todos  los  archivos  del  disco  duro  en  segundo  piano.  Por  la  actividad  del  disco  duro  deduje  lo  que  estaba 
haciendo,  y  haciendo  doble  click  en  el  icono  del  antivirus  pude  confirmarlo  en  la  ventana  del  escaner. 

Como  medida  de  seguridad  estaba  muy  bien,  pero,  tcual  es  la  experiencia  de  un  usuario  comun?  Pues  no 
tiene  dudas,  tras  instalar  el  antivirus  el  sistema  se  ha  vuelto  muy  lento  y  apenas  lo  deja  trabajar.  El  usuario 
no  sabe  que  es  una  action  que  llevara  a  cabo  solo  en  el  primer  reinicio  y  no  en  posteriores,  la  percepcion 
es  que  instalando  el  antivirus  X  el  sistema  inmediatamente  se  vuelve  lento. 

iPor  que  el  antivirus  no  deja  el  analisis  de  todos  los  archivos  para  mas  tarde,  cuando  detecte  que  el  sistema 
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lleva  un  tiempo  en  “reposo”  en  vez  de  hacerlo  justo  en  el  inicio?  Incluso  podria  pausar  ese  analisis  en 
segundo  piano  si  detecta  que  el  usuario  comienza  a  utilizar  el  ordenador,  o  al  menos  regular  la  velocidad 
y  consumo  de  recursos  del  analisis  para  no  interferir  la  actividad  del  usuario. 

Probando  otros  antivirus  se  puede  notar  claramente  el  cambio  de  enfoque,  acertado  desde  el  punto  de 
vista  comercial,  explotando  al  maximo  los  conceptos  de  velocidad  y  rendimiento.  Aunque  en  ocasiones  sea 
a  costa  de  una  menor  protection  o  simplemente  aplicando  cierta  picaresca. 

Hay  un  antivirus  que  se  vende  como  uno  de  los  mas  rapidos,  para  ello  tiene  una  option  por  defecto  de 
analisis  a  demanda  donde  no  utiliza  las  tecnicas  de  heuristica  que  mas  recursos  consume,  con  las  que 
hacen  las  pruebas  de  velocidad.  Cuando  toca  hacer  una  prueba  de  detection,  piden  encarecidamente  que 
se  utilice  la  option  con  la  heuristica  mas  lenta  activada.  Objetivo:  aparecer  en  las  evaluaciones  como  el 
mas  rapido  sin  perder  capacidad  de  detection.  Lo  logran. 

Resumiendo 

Demostrar  que  una  tecnologia  antivirus  ofrece  mejor  protection  que  otra  es  complicado.  Desde  el  punto 
de  vista  de  marketing  el  usuario  esta  cansado,  al  fin  y  al  cabo  todos  los  antivirus  afirman  ser  los  mejores, 
y  se  deja  llevar  por  la  propia  experiencia  o  por  terceros  confiables  creadores  de  opinion. 

La  experiencia  del  usuario  tiene  una  visibilidad  muy  parcial,  no  puede  saber  que  grado  de  protection  real 
le  ofrece  un  producto.  Se  dejara  llevar  por  indicadores  tales  como  la  no  interferencia  con  su  trabajo  y  el 
rendimiento  del  sistema.  El  usuario  no  sabe  si  esta  infectado  o  no,  pero  si  sabe  si  el  antivirus  le  molesta. 

Los  terceros  confiables  no  son  confiables.  La  dificultad  que  el  usuario  tiene  para  evaluar  el  grado 
de  protection  de  un  antivirus  tambien  se  traslada  a  los  creadores  de  opinion,  desde  foros  de  Internet 
pasando  por  revistas  de  informatica  y  comparativas  que  tampoco  estan  disenadas  para  evaluar  las  nuevas 
tecnologias.  Tambien  tienen  la  resposabilidad  de  explicar  cual  es  la  situation  actual  y  las  diferencias  entre 
tecnologias,  hay  que  formar  a  los  usuarios. 

Los  evaluadores  de  antivirus  deben  evolucionar  a  nuevas  metodologias,  siguen  (seguimos)  utilizando  tests 
de  los  anos  90  dando  resultados  adulterados  y  penalizando  a  las  nuevas  tecnologias.  Son  las  fuentes  de  la 
que  beben  los  terceros  confiables,  “culpables”  tambien  de  la  formation  en  nuevas  tecnologias  que  requieren 
traducir  su  eficacia  real  en  indicadores  que  a  dia  de  hoy  simplemente  no  se  miden. 

Los  desarrolladores  antivirus  deben  reinventarse  y  no  perder  el  foco  sobre  el  usuario.  Hay  productos  que 
estan  incorporando  tecnologia  sobre  tecnologia  en  su  busqueda  de  minimizar  la  ventana  de  riesgo  de 
infection,  pero  convirtiendose  en  un  software  complejo,  poco  optimizado,  que  consume  muchos  recursos, 
y  que  ofrece  una  pobre  experiencia  al  usuario. 

Hay  que  evolucionar,  pero  no  a  cualquier  precio.  A  veces  tendemos  a  ofuscarnos  con  soluciones  tecnicas 
y  olvidamos  que  al  final  un  usuario,  que  no  es  informatico  ni  tiene  nociones  de  seguridad,  tendra  que 
convivir  con  esas  soluciones  en  su  dia  a  dia  en  un  PC  normal,  no  sobrado  de  recursos,  que  ejecuta  otras 
aplicaciones  que  son  realmente  las  importantes  para  el. 


Bernardo  Quintero 
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18/08/2007  El  escarabajo  de  oro 

La  lectura  de  “El  escarabajo  de  oro”,  relato  de  Edgar  Allan  Poe,  ha  supuesto  para  muchos  el  bautismo  con 
el  criptoanalisis,  descubriendo  uno  de  los  metodos  basicos  para  romper  un  mensaje  cifrado  y  recuperar  la 
information  original. 

Edgar  Allan  Poe  es  tal  vez  mas  conocido  por  sus  obras  de  misterio  e  historias  macabras,  si  bien  tambien 
fue  un  apasionado  de  la  criptografia.  Esa  aficion  ha  quedado  reflejada  para  la  posteridad  con  mensajes 
ocultos  en  varios  de  sus  poemas  y  de  forma  mas  explicita  en  “El  escarabajo  de  oro”. 

Esa  faceta  se  hizo  aun  mas  patente  cuando  en  1839  comenzo  a  escribir  en  la  publication  Alexander’s 
Weekly  Messenger  una  serie  de  articulos  sobre  criptografia,  llegando  a  retar  a  sus  lectores  a  que  le  enviaran 
mensajes  cifrados  que  el  intentaria  resolver. 

Su  colaboracion  con  la  publicacion  apenas  duro  5  meses.  Un  ano  mas  tarde  comenzo  de  nuevo  a  escribir 
sobre  criptografia  en  la  publicacion  Graham’s  Magazine,  bajo  el  titulo  “A  Few  Words  on  Secret  Writing” 
y  una  serie  de  tres  articulos.  En  esta  publicacion  afirmo  que  durante  el  transcurso  del  anterior  reto  logro 
resolver  todos  los  mensajes  cifrados  enviados  por  los  lectores  de  Messenger,  aproximadamente  unos 
cien. 

Segun  Poe,  recibio  dos  nuevos  mensajes  cifrados  de  un  lector,  Mr.  W.B.  Tyler,  que  reprodujo  en  Graham’s 
Magazine  para  animar  a  sus  lectores  a  que  intentaran  descifrarlos.  Poe  afirmo  que  no  habia  podido 
resolverlos  por  falta  de  tiempo.  Siempre  se  tuvo  la  sospecha  de  que  la  historia  era  una  excusa,  y  que  Tyler 
era  en  realidad  Poe,  que  habria  dejado  de  esta  forma  algun  mensaje  oculto  para  la  posteridad. 

El  primero  de  los  mensaje  cifrados  de  Tyler  no  fue  resuelto  hasta  pasados  mas  de  150  anos,  en  1992,  por 
Terence  Whalen,  un  estudioso  de  la  obra  de  Poe,  que  a  dia  de  hoy  ejerce  en  la  universidad  de  Illinois. 

Este  primer  mensaje  resulto  ser  un  fragmento  de  “Cato”,  obra  de  Joseph  Addison  que  data  de  1713,  y  que 
a  priori  no  establece  relation  alguna  con  Poe.  En  cuanto  al  sistema  de  cifrado  utilizado,  tampoco  resulto 
ser  nada  sofisticado,  se  trataba  de  una  simple  sustitucion  monoalfabetica,  que  podia  ser  resuelta  de  forma 
similar  a  como  se  describe  en  “El  escarabajo  de  oro”. 

El  segundo  mensaje  cifrado  de  Tyler  seguia  resistiendose.  En  1996,  Shawn  J  Rosenheim,  profesor  del 
Williams  College  y  estudioso  de  Poe,  anuncio  un  concurso  por  el  que  premiaria  con  2.500  dolares  a  la 
persona  que  descifrara  el  segundo  mensaje  de  Tyler. 

En  el  ano  2000  Gil  Broza,  actualmente  consultor  IT,  se  alzaria  con  el  premio  al  resolver  el  segundo 
mensaje  de  Tyler  con  la  ayuda  de  un  ordenador,  varios  programas  que  diseno  para  la  ocasion,  y  dos 
meses  de  quebraderos  de  cabeza.  El  texto  descifrado  resulto  ser  de  lo  mas  decepcionante,  ya  que  no  se  ha 
establecido  su  autoria  y  a  priori  no  guarda  relation  alguna  con  Poe.  Aun  asi,  continuan  las  teorias  sobre 
que  Poe  pudiera  ser  el  autor  de  estos  mensajes  cifrados  y  que,  una  vez  descifrados,  aun  pudiera  contener 
algun  mensaje  oculto  que  aun  no  habria  sido  interpretado. 

Si  has  llegado  hasta  aqul  y  no  conocias  la  obra  de  Poe  o  te  has  interesado  por  el  criptoanalisis,  tal  vez  te 
apetezca  leer  “El  escarabajo  de  oro”: 

http://www.librosgratisweb.com/pdf/poe-edgar-alan/el-escarabajo-de-oro.pdf 
http://www.estadisticaparatodos.es/taller/criptografia/Edgar_Allan_Poe-El_Escarabajo_de_  oro.pdf 
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(HTML)  http://es.wikisource.org/wiki/El_escarabajo_de_oro 


Bernardo  Quintero 


17/10/2007  oEs  la  Russian  Business  Network  el  centro  de  operaciones  mundial  del 
malware? 

Brian  Krebs  publica  una  serie  de  interesantes  articulos  sobre  la  Russian  Business  Network  (mas  conocida 
como  la  RBN),  una  compania  que  supuestamente  proporciona  alojamiento  e  infraestructura  web  a  la 
creciente  industria  del  malware,  convirtiendose  asi  en  una  especie  de  centro  de  operaciones  mundial 
desde  donde  se  descargan  los  troyanos  y  hacia  donde  viaja  la  informacion  robada. 

La  RBN  se  encuentra  en  St.  Petersburg  y  proporciona  alojamiento  web.  Su  actividad  parece  estar 
intimamente  relacionada  con  la  industria  del  malware,  hasta  el  punto  de  que  muchos  han  decidido 
bloquear  directamente  toda  conexion  con  direcciones  pertenecientes  a  esta  red.  Y  no  solo  malware.  Se 
dice  que  la  mitad  del  phishing  mundial  esta  alojado  impunemente  en  alguno  de  sus  servidores. 

En  los  ultimos  anos  no  es  facil  encontrar  un  incidente  criminal  a  gran  escala  en  la  que  no  aparezcan  por 
algun  sitio  las  siglas  RBN  (0  “TooCoin”  o  “ValueDot”,  nombres  anteriores  con  los  que  ha  sido  conocida). 
En  2005  se  estaba  aprovechando  de  forma  masiva  una  vulnerabilidad  en  Internet  Explorer  para  instalar 
un  keylogger.  Se  demostro  que  la  mayoria  de  datos  robados  iban  a  parar  a  un  servidor  de  la  RBN.  Los 
servidores  de  la  RBN  estaban  detras  del  incidente  contra  la  HostGator  en  2006.  Aprovechando  un 
fallo  en  Cpanel,  consiguieron  tener  acceso  a  cientos  de  webs  de  la  compania.  En  2007,  la  empresa  de 
hosting  gratuito  IPOWER  tambien  fue  atacada  y  se  instalaron  en  sus  paginas  “frames”  que  de  forma 
transparente  redirigian  a  sitios  en  la  RBN  donde  se  intentaban  instalar  troyanos.  Malware  como  Gozi, 
Grab,  Metaphisher,  Ordergun,  Pinch,  Rustock,  Snatch,  Torpig...  todos  se  han  servido  de  los  servidores  de 
la  RBN  para  “alojarse”  o  alojar  datos.  Los  ejemplos  son  muchos  y  variados.  Mpack  la  herramienta  usada 
en  varios  ataques  masivos  durante  2007,  es  vendida  desde  uno  de  los  servidores  de  la  RBN. 

Ante  tanta  evidencia,  son  muchos  los  administradores  que  han  decidido  bloquear  por  completo  el  acceso  a 
los  servidores  alojados  en  la  RBN.  Pero  no  ha  servido  de  mucho.  Han  aprendido  a  enrutar  las  conexiones 
a  traves  de  otras  webs  comprometidas  en  Estados  Unidos  y  Europa  de  forma  que,  aunque  sea  dando  un 
rodeo  a  traves  de  otras  IPs  (habitualmente  usuarios  residenciales  troyanizados  0  webs  atacadas),  siguen 
operando  de  forma  normal.  Por  ejemplo,  en  el  reciente  ataque  al  Banco  de  la  India,  al  seguir  el  rastro  del 
malware  que  se  intentaba  instalar  en  los  sistemas  Windows  que  visitaban  la  web,  se  observo  que  tras  pasar 
la  informacion  a  traves  de  varios  servidores,  finalmente  acababa  en  un  servidor  de  la  RBN. 

Tras  las  acusaciones  publicadas  en  el  Washinton  Post,  un  tal  Tim  Jaret  que  decia  pertenecer  a  la  RBN  lo 
negaba  todo.  Decia  que  no  podia  entender  por  que  se  le  acusaba  basandose  en  suposiciones.  El  tal  Jaret 
incluso  se  queja  de  que  intento  colaborar  con  el  grupo  antispam  Spamhaus  (que  tiene  continuamente 
bloqueadas  nada  menos  que  mas  de  2.000  direcciones  IP  de  la  RBN  clasificadas  como  origen  de  correo 
basura)  sin  exito. 

En  SANS  Internet  Storm  Center  tienen  una  clara  opinion  al  respecto,  no  van  a  tirar  piedras  sobre  su 
tejado.  Y  es  que  segun  Verisign,  la  RBN  cobra  hasta  600  dolares  mensuales  por  un  alojamiento  “a 
prueba  de  balas”  lo  que  en  este  caso  significa  que  no  cedera  a  presiones  legales  ni  sera  cerrado  por  muy 
inapropiado  o  “infeccioso”  que  sea  su  contenido.  Aun  asi,  el  tal  Jaret  afirma  que  la  RBN  tiene  el  nivel  de 
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“criminalidad”  habitual  en  cualquier  proveedor  web,  y  que  habitualmente  cierra  las  webs  en  menos  de  24 
horas,  facilitando  el  trabajo  a  los  profesionales  de  la  seguridad.  Sin  embargo,  es  posible  que  la  linica  action 
de  la  RBN  cuando  recibe  presiones  para  cerrar  un  sitio  web,  sea  aumentar  el  “alquiler”  a  los  delincuentes 
que  se  basan  en  ella  para  operar. 

Por  ultimo,  se  le  pidio  al  tal  Jaret  que  ofreciera  nombres  de  usuarios  legitimos  de  sus  redes,  y  contesto  que 
razones  legales  se  lo  impedian. 

La  RBN  (rusa,  como  la  gran  escuela  creadora  del  malware  2.0)  se  ha  convertido  asi  en  complice  y  centro 
de  operaciones  web  para  la  industria  del  malware,  que  encuentra  un  aliado  que  sabe  mantener  la  boca 
cerrada  y  las  manos  quietas  si  se  le  paga  lo  suficiente.  Symantec  lo  llama  “el  refugio  para  todo  tipo  de 
actividades  ilegales  en  la  Red”. 

Por  si  queda  alguna  duda  sobre  su  intention  de  permanecer  “anonimos”,  basta  con  comprobar  hacia  que 
IP  apunta  su  dominio  principal  rbnnetwork.com 


Sergio  de  los  Santos 


02/11/2007  Ataque  con  troyano  para  usuarios  de  Mac 

Detectada  diversas  variantes  de  un  troyano  destinado  a  usuarios  de  Mac.  De  momento  se  ha  detectado 
unicamente  hospedado  en  paginas  de  contenido  pornografico,  a  traves  de  las  cuales  intentan  enganar  a  los 
usuarios  para  que  se  instalen  el  troyano. 

Se  trata  de  un  ataque  dirigido  a  usuarios  de  Windows  y  Mac  desde  paginas  con  supuestos  videos 
pornograficos.  Para  atraer  a  las  potenciales  victimas,  las  direcciones  de  las  webs  que  contienen  los  troyanos 
han  sido  anunciadas  a  traves  de  spam,  incluyendo  el  envio  de  los  enlaces  a  varios  foros  de  usuarios  de 
Mac. 

Cuando  el  usuario  visita  una  de  las  paginas  y  selecciona  visualizar  uno  de  los  videos,  el  servidor  web 
detecta  si  el  sistema  es  un  Windows  o  Mac  a  traves  del  user-agent  del  navegador.  En  funcion  de  ese  dato, 
la  pagina  web  intentara  que  el  usuario  se  instale  la  version  del  troyano  para  Windows  (extension  .exe)  0 
para  Mac  (extension  .dmg). 

La  estrategia  de  los  atacantes  consiste  en  hacer  creer  al  usuario  que  necesita  instalar  un  componente 
adicional,  un  codec,  para  poder  visualizar  el  video.  El  usuario  de  Mac  tendra  que  introducir  la  contrasena 
de  administrador  para  proceder  a  la  instalacion  del  troyano,  si  bien  muchos  podrian  hacerlo  creyendo  que 
es  necesario  para  instalar  el  componente  que  les  permitira  ver  el  deseado  video. 

Una  vez  el  troyano  se  instala  lleva  a  cabo  su  cometido,  que  no  es  otro  que  modificar  los  servidores  DNS  del 
sistema  para  que  apunten  a  unos  nuevos  que  estan  bajo  el  dominio  de  los  atacantes.  Estos  servidores  DNS 
llevarian  a  cabo  un  ataque  del  tipo  pharming,  ya  que  pueden  redireccionar  ciertos  dominios,  como  el  de 
algunas  entidades  bancarias,  a  servidores  que  hospedan  phishing  con  el  fin  de  sustraer  las  credenciales 
de  acceso  de  las  victimas. 

La  detection  antivirus  es  de  momento  escasa,  normal  si  tenemos  en  cuenta  que  el  malware  suele  ser,  en  la 
practica,  un  terreno  de  Windows,  en  incluso  muchas  casas  antivirus  no  tienen  soluciones  para  Mac.  Las 
diversas  variantes  a  las  que  tenemos  acceso  en  Hispasec  hasta  el  momento  son  detectadas  por  ninguno, 


244 


Una  al  dia.  Once  anos  de  seguridad  informatica  -  2007  - 


uno,  o  a  lo  maximo  dos  productos  antivirus,  entre  los  que  se  encuentra  Sophos  que  lo  identifica  con  el 
nombre  de  “OSX/RSPlug-A”  y  Mcafee  como  “OSX/Pupe”. 

La  recomendacion  obvia  a  los  usuarios  de  Mac  es  que  no  instalen  ningun  software  de  fuentes  no  confiables 
y,  dado  este  caso  en  concreto,  especialmente  desconfien  de  cualquier  web  de  contenido  adulto  que  les 
incite  a  instalar  un  supuesto  codec  de  video. 

Aunque  el  ataque  tambien  se  dirige  a  usuarios  de  Windows,  que  es  lo  comun,  la  noticia  es  que  se  hayan 
molestado  en  desarrollar  una  version  del  troyano  especifica  para  los  usuarios  de  Mac.  Hasta  la  fecha 
la  mayoria  del  malware  para  Mac  era  anecdotico,  pruebas  de  concepto  o  laboratorio,  que  realmente  no 
tenian  una  repercusion  significativa  entre  los  usuarios  de  Mac.  En  esta  ocasion  estamos  ante  un  caso  real 
de  malware  funcional  desarrollado  por  atacantes  que  han  fijado,  como  parte  de  sus  objetivos,  el  fraude 
online  a  usuarios  de  Mac. 

f.Caso  puntual  o  el  comienzo  de  una  nueva  era  en  lo  que  respecta  al  malware  para  Mac? 

Mas  informacion  y  ejemplos  de  las  webs  que  distribuyen  el  troyano  pueden  encontrarse  en  el  blog  del 

laboratorio  de  Hispasec: 

http://blog.hispasec.com/laboratorio/250 


Bernardo  Quintero 


05/12/2007  Servicios  antiphishing  iefectivos? 

Un  estudio  de  Symantec  revela  que  el  25%  de  las  visitas  a  un  sitio  de  phishing  se  produce  durante  la 
primera  hora  del  lanzamiento  del  fraude.  Transcurridas  12  horas  habra  recibido  el  60%  de  las  visitas.  Si 
los  servicios  antiphishing  tardan  mas  tiempo  en  desactivarlos,  tcual  es  su  efectividad  real  en  la  prevencion 
del  fraude? 

El  estudio,  que  se  ha  llevado  a  cabo  durante  varios  meses,  analiza  los  logs  correspondientes  a  6.158  ataques, 
y  pone  numeros  a  algo  que  todos  sabiamos:  en  un  fraude  por  phishing  las  primeras  horas  son  cruciales  y 
concentran  el  mayor  porcentaje  de  las  visitas  y  estafas. 

Durante  las  6  primeras  horas  del  ataque  se  llegarian  a  concentrar  el  51,6%  de  las  visitas,  entre  las  6  y  12 
horas  aumenta  un  10,7%,  entre  las  12  y  24  horas  se  suma  un  13%,  y  el  24,6%  de  las  visitas  restantes  se 
suceden  transcurridas  las  primeras  24  horas. 

Estos  datos  dejan  en  entredicho  la  efectividad  de  los  servicios  antiphishing  reactivos  que  mantienen 
medias  superiores  a  las  6  horas  de  cierre,  ya  que  no  evitarian  la  mayoria  de  las  visitas  y  por  tanto  la 
rentabilidad  del  ataque.  Esto  explica  en  parte  que,  pese  a  la  inversion  en  este  tipo  de  servicios,  los  ataques 
a  ciertas  entidades  sigan  siendo  periodicos. 

Desde  el  punto  de  vista  del  atacante,  un  servicio  antiphishing  de  una  entidad  que  cierre  en  el  menor  tiempo 
posible  repercutiria  negativamente  en  su  negocio,  y  por  tanto  es  de  preveer  que  migrara  sus  ataques  a 
otras  entidades  que  no  entorpecieran  tanto  el  fraude. 

Por  ello  la  velocidad  en  el  cierre  de  las  infraestructuras  de  phishing  es  crucial  en  la  prevencion,  tanto  por 
los  casos  puntuales,  como  por  estrategia  a  medio  plazo  que  conlleve  una  diminution  en  los  ataques  a  una 
entidad  al  dejar  de  ser  un  objetivo  rentable. 
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iDeberian  las  entidades  exigir  tiempos  de  reaction  a  los  servicios  antiphishing? 

Queda  tiaro  que  a  mayor  tiempo  de  reaction  aumenta  la  rentabilidad  del  atacante,  lo  que  tambien 
favoreceria  que  la  entidad  sufra  nuevos  ataques.  Como  efecto  colateral  la  empresa  que  ofrece  el  servicio 
antiphishing  tendria  que  llevar  a  cabo  mas  actuaciones,  y  tambien  saldria  beneficiada  economicamente. 
Algo  falla  en  la  ecuacion. 

Dada  la  importancia  de  la  velocidad  de  reaction,  es  logico  pensar  que  la  entidad  requiriera  establecer 
algun  tipo  de  escala  basada  en  tiempos.  No  deberia  pagar  lo  mismo  por  la  desactivacion  de  un  phishing  en 
1  hora  que  en  24,  deberia  incentivar  y  premiar  la  mayor  celeridad  posible  en  las  actuaciones,  inclusive  no 
pagar  aquellas  que  se  dilaten  demasiado  en  el  tiempo. 

La  realidad  es  que  el  cierre  de  una  infraestructura  de  phishing  depende  de  factores  externos  que  no  puede 
controlar  la  empresa  de  seguridad,  y  por  lo  tanto  la  efectividad  en  casos  concretos,  o  en  determinadas 
campanas,  puede  ser  muy  variable.  No  obstante,  eso  no  debe  ser  apice  para  que  se  establezcan  mecanismos 
que  incentiven  los  mejores  resultados. 

De  los  ultimos  100  casos  de  phishing  gestionados  por  el  servicio  antifraude  de  Hispasec,  47  de  ellos  se 
cerraron  en  menos  de  1  hora.  La  media  de  cierre  se  situa  en  3  horas  1  minuto. 

Bernardo  Quintero 


Entrevista 


En  poco  mas  de  una  decada,  Eugene  Kaspersky  ha  construido  una  de  las  empresas 
antivirus  mas  respetadas  entre  los  profesionales  del  sector.  Kaspersky  se  caracteriza  Eugene  Kaspersky 

por  ser  un  profesional  al  que  le  apasiona  su  trabajo.  Su  empresa  dice  y  hace  lo  que 
quiere,  que  no  siempre  tiene  por  que  ser  politicamente  correcto...  aunque  si  que  parece  acertado  la  mayor 
parte  de  las  veces. 

Hispasec:  iComo  surge  la  idea  de  crear  una  empresa  antivirus? 

Eugene  Kaspersky:  Comence  a  trabajar  como  “cazador  de  virus”  profesional  a  principios  de  los  90, 
cuando  acabe  el  servicio  militar  y  me  uni  a  KAMI,  una  de  las  companias  de  IT  mas  grandes  del  momento 
en  Rusia.  Recibiamos  financiacion  de  la  compania,  y  eso  me  permitio  investigar  y  crear  un  equipo  de 
expertos  de  perfil  alto  que  todavia  forman  parte  de  la  empresa. 

Sin  embargo  en  1997  KAMI  decidio  abandonar  el  desarrollo  de  software  y  concentrarse  en  la  integration 
de  sistemas.  No  queriamos  cerrar  nuestro  proyecto  antivirus,  asi  que  la  unica  option  que  nos  quedaba  era 
fundar  nuestra  propia  compania,  lo  que  hicimos  en  1997.  En  ese  momento  nadie  queria  invertir  en  nuestro 
negocio  ni  darnos  creditos,  eramos  muy  pequenos  y  desconocidos.  Y  hasta  hoy  no  hemos  tenido  ningun 
inversor  ni  pedido  ningun  prestamo.  Ahora  somos  los  suficientemente  grandes  para  financiar  nuestro 
negocio  y  desarrollar  nuestro  proyecto. 

H:  En  Hispasec  realizamos  varias  comparativas  antivirus  para  revistas  del  sector  a  finales 
de  los  anos  90.  Una  de  las  pruebas  consistia  en  enviar  de  forma  anonima  un  malware  nuevo 
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a  los  laboratories  para  ver  el  tiempo  de  reaccion  y  la  calidad  de  la  respuesta.  Recordamos 
con  agrado  la  anecdota  de  que  durante  alguna  de  esas  pruebas  analizaste  la  muestra  y 
contestaste  personalmente  al  ficticio  usuario  infectado.  (.Como  compaginabas  tu  puesto 
de  presidente  de  una  empresa  en  expansion  con  la  dedicacion  al  analisis  de  malware  y 
soporte  a  los  usuarios? 

EK:  “Finales  de  los  90”  fue  hace  10  anos...  en  ese  momento  yo  estaba  realmente  trabajando  parcialmente 
como  analista  de  virus,  observando  las  peticiones  de  los  usuarios,  analizando  ficheros  sospechosos, 
anadiendo  nuevos  registros...  Comence  a  delegar  mas  obligaciones  en  otros  entre  2003  y  2005,  cuando 
emergieron  mas  y  mejores  investigadores  en  nuestro  laboratorio  que  hacian  el  trabajo  igual  de  bien  0 
mejor  que  yo.  Finalmente  reconoci  que  realmente  no  me  necesitaban  en  la  linea  de  decisiones.  Asi  que 
lentamente  deje  el  trabajo  diario  de  analisis  y  ahora  mas  que  nada  me  centro  en  la  estrategia  de  la  compania 
e  innovaciones  tecnologicas.  Viajo  tambien  mucho  mas  para  estar  mas  en  contacto  con  la  realidad. 

H:  Siguiendo  con  aquella  anecdota,  en  la  respuesta  que  recibimos  apreciabamos  un 
trabajo  artesanal.  Realmente  habias  analizado  la  muestra  y,  ademas  de  la  actualizacion 
para  desinfeccion,  nos  dabas  detalles  del  funcionamiento  interno  del  malware.  Con  el 
volumen  actual  de  malware  es  impensable  que  se  pueda  continuar  haciendo  un  trabajo 
tan  artesanal  en  los  laboratories  y  se  intuye  que  buena  parte  del  proceso  de  analisis  se 
encuentra  automatizado.  A  lo  largo  de  estos  anos,  tcomo  ha  ido  evolucionando  el  trabajo 
en  los  laboratories  antivirus?  (.cuales  son  los  retos  actuales  y  como  se  abordan? 

EK:  Por  supuesto,  la  mayoria  del  trabajo  esta  automatizado,  pero  la  recolecion  de  muetras  tambien,  asi  que 
no  necesitamos  responder  a  cada  muestra  anadida  a  la  coleccion.  Contestamos  a  las  peticiones  “humanas” 
solo. 

H:  La  mayor  parte  del  malware  de  hoy  dia  forma  parte  de  un  negocio  criminal,  podriamos 
decir  que  se  ha  profesionalizado  la  antigua  figura  del  creador  de  virus.  Atras  quedan  los 
virus  que  infectaban  ejecutables  y  vivimos  una  autentica  avalancha  de  malware  estatico, 
como  troyanos  o  adware.  Parece  que  tambien  existe  una  automatizacion  en  la  creacion 
de  malware,  con  miles  de  variantes  que  tienen  el  mismo  objetivo  y  solo  buscan  evitar  la 
deteccion  de  los  antivirus.  (.Que  diferencias  claves  encuentras  entre  el  malware  de  1998 
y  el  del  2008?  (.Crees  que  volveran  a  tener  un  boom  los  virus  infectores  y  polimorficos? 
De  suceder  eso,  (.crees  que  algunas  soluciones  antivirus  actuales  se  han  acostumbrado  al 
malware  estatico  y  tendrian  problemas  para  adaptarse  a  ese  nuevo  escenario? 

EK:  En  realidad  hoy  en  dia  afrontamos  mas  y  mas  infectores  y  malware  polimorfico,  especialmente 
“poliformico  en  web”.  Asi  que  a  finales  de  los  90  los  infectores  le  cedieron  la  cuota  de  mercado  al  malware 
estatico.  No  lo  recuperan  (todavia  hay  cientos  de  veces  mas  malware  estatico),  pero  cada  vez  estamos 
recibiendo  mas  malware  de  ultima  generation. 

H:  En  la  actualidad,  tcual  es  tu  funcion  en  Kaspersky  Labs?  (.Sigues  realizando  tanto 
labores  de  gestion  como  tecnicas? 

EK:  Nunca  he  sido  un  manager  directo,  del  dia  a  dia.  Preferia  tener  un  buen  equipo  de  managers  que 
tuvieran  la  capacidad  y  libertad  de  hacerlo  bien  por  ellos  mismos.  Mi  trabajo  es  mas  que  nada  comprender 
“el  cuadro”,  desarrollar  la  estrategia  de  la  compania,  tomar  parte  en  el  marketing  del  producto,  innovaciones 
tecnologicas  y  representar  a  la  compania. 
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HS:  Kaspersky  siempre  ha  tenido  fama  de  buen  motor  antivirus  en  foros  tecnicos,  sin 
embargo  el  ranking  de  ventas  suele  estar  liderado  por  otras  marcas.  <iCree  que  la  decision 
de  los  usuarios  finales  se  deja  llevar  mas  por  el  marketing  que  por  la  realidad  del  producto? 
fcQue  deberia  tener  en  cuenta  el  usuario  a  la  hora  de  elegir  su  antivirus?  c'.Existe  una  fuente 
confiable  donde  pueda  comparar? 

EK:  La  razon  por  la  que  no  estamos  en  la  las  compamas  “BigThree”  es  muy  simple:  cuando  fundamos 
nuestra  compania  independiente,  cuando  empezamos  a  explorar  el  mercado,  otros  ya  llevaban  alii  muchos 
anos,  y  no  habia  espacio  libre  para  nosotros.  Asi  que  tuvimos  que  luchar  por  nuestro  espacio  durante 
anos,  explicando  nuestra  position  y  promocionando  nuestra  tecnologia,  productos  y  servicios.  Por  eso 
en  algunos  paises  (no  todos)  somos  valorados  solo  por  usuarios  avanzados,  y  menos  reconocidos  por  la 
mayoria  del  mercado.  Pero  eso  esta  cambiando. 

H:  En  el  escenario  actual,  con  un  volumen  de  malware  muy  considerable  y  distribuido, 
fctiene  sentido  seguir  manteniendo  la  lista  In-The-Wild  y  utilizarla  como  referencia  para 
evaluar  los  antivirus? 

EK:  Por  supuesto  que  no.  Porque  no  es  posible  aguantar  una  lista  “in  the  wild”  si  salen  miles  de  nuevos 
malware  cada  dia.  Todas  deberian  estar  ITW.  Asi  que  tenemos  que  cambiar  esta  metodologia,  pero  no  es 
una  tarea  facil. 

H:  f.Que  opinion  te  merece  VirusTotal  y  cual  crees  que  debe  ser  su  evolucion  y  papel  en  la 
industria  antimalware? 

EK:  Este  tipo  de  servicios  son  una  herramienta  para  usuarios  de  Internet  experimentados,  y  resultan  un 
servicio  poderoso  para  recolectar  malware  en  la  Red. 

H:  A1  margen  de  Kaspersky  Labs,  ia  que  dedicas  mas  tiempo  ultimamente?  ^Hobbies? 

EK:  (''.Hobbies?  Llevar  una  compania  exitosa  de  ITTP  (IT  Threat  Prevention)  ,  hacerla  crecer  con  cero 
ingresos  (con  la  ayuda  de  otros)  explicar  amenazas,  solucionar  problemas...  cacaso  alguien  necesita  otro 
hobbie  aparte  de  eso? 

EK:  tAlguna  prediccion  en  materia  de  seguridad  informatica?  ?.Que  nos  espera? 

EK:  Estoy  esperando  que  los  gobiernos  presten  mas  atencion  a  los  problemas  de  seguridad  de  la  red 
global.  Identification  personal,  una  Internet-Interpol  realmente  internacional  nos  traera  mas  regulaciones 
y  restricciones.  Solo  eso  puede  hacer  disminuir  la  carga  de  malware  en  Internet.  Si  no  hacemos  eso... 
dCuanto  trafico  parasitario  transfiere  Internet?  dCuantos  terawatios  desperdiciamos  por  eso?  iCuantas 
centrales  electricas  trabajan  solo  para  soportar  el  crimen  electronico?  cCuanta  electricidad,  centrales  de 
datos,  canales...  necesitaremos  en  5,  10,  20  anos  si  el  crecimiento  del  malware  se  mantiene  al  mismo 
nivel? 


H:  Un  libro,  una  cancion. 

EK:  Muchos.  Puedes  encontrar  la  information  en  www.kasperskyclub.com 
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Durante  este  ano... 


_  En  enero  se  registra  una  caida  del  Ibex  35  del  7,54%,  retrocediendo  hasta  los  12.625 
puntos.  Aunque  se  recuperarla  ligeramente,  la  crisis  es  ya  palpable.  En  septiembre 
bajarla  de  11.000  puntos.  En  octubre  el  Ibex-35  sufre  la  peor  caida  de  su  historia,  un 
9,14%  y  retrocede  hasta  los  8.997,7 

_  En  febrero  Fidel  Castro  renuncia  al  cargo  por  motivos  de  salud,  despues  de  49  anos  en  el  poder. 

_  En  las  elecciones  generales  de  Espana,  el  PSOE  revalida  titulo.  Se  crearla  una  pequena  crisis  en  el 
principal  partido  de  la  oposicion. 

_  La  sonda  estadounidense  Phoenix  aterriza  en  Marte.  Meses  despues  podria  usar  su  microfono  para  oir 
los  primeros  sonidos  del  planeta  rojo. 

EXPO 

_  Del  14  de  junio  al  14  de  septiembre  se  celebra  la  Exposicion  Internacional  de 
Zaragoza  (conocida  como  Expo  Zaragoza  08),  bajo  el  lema  “Agua  y  desarrollo  sostenible”. 

No  gozaria  del  exito  y  popularidad  de  la  Expo’92  de  Sevilla. 

_  En  junio  Barack  Obama  se  convierte  en  el  primer  candidate  negro  a  la  presidencia  de  Estados  Unidos, 
tras  una  renida  campana  contra  la  tambien  democrata  Hillary  Clinton. 


~  ZARA 

""  /2oza 
/2008 


2008 


El  20  de  agosto,  el  vuelo  5022  de  la  compania  Spanair,  se  estrella  poco  despues  del 
intento  frustrado  de  despegue.  Mueren  154  personas.  El  vuelo  sufre  algunos  problemas 
tecnicos  antes  de  despegar,  pero  aun  asl,  lo  intenta.  Se  barajan  todo  tipo  de  teorias 
sobre  las  verdaderas  causas  del  desastre.  Las  tareas  de  identificacion  de  cadaveres 
duran  mas  de  lo  previsto.  Durante  los  juegos  olimpicos  de  Pekin,  algunos  espanoles  lucen 
crespones  negros  en  sus  brazos  para  mostrar  solidaridad  con  las  victimas  del  accidente, 
aun  siendo  una  manifestacion  no  apoyada  por  el  COI  (Comite  Olimpico  Internacional)  no 
son  sancionados.  El  24  de  agosto  se  estrella  en  Kirguistan,  al  aterrizar,  el  vuelo  6895  de  la 
compania  Itek-Air,  mueren  69  personas. 


_  Comienza  a  funcionar  el  10  de  septiembre  en  Suiza  el  acelerador  de  particulas  LHC  (Large  Hadron 
Collider).  Se  pretende  hacer  colisionar  particulas  subatomicas  a  grandes  velocidades  para  simular 
algunos  eventos  ocurridos  durante  o  inmediatamente  despues  del  “big  bang”.  Algunas  voces  de  supuestos 
cientificos  adelantan  que  su  puesta  en  marcha  puede  hacer  que  se  creen  agujeros  negros  y  provocar  el  fin 
del  planeta. 


_  En  septiembre  salta  la  alarma  en  China  por  la  adulteracion  de  leche  para  bebes,  en  la  que  se  detecta 
melamina.  Esta  sustancia  es  agregada  a  los  lacteos  para  que,  en  los  controles,  parezcan  tener  un  mayor 
contenido  en  proteinas  que  el  real.  La  sustancia  resulta  toxica  para  el  ser  humano.  Cuatro  bebes  mueren  en 
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China,  y  otros  miles  quedan  gravemente  intoxicados.  Se  acusa  al  gobierno  Chino  de  ocultar  la  information 
hasta  que  hubiesen  terminado  los  juegos  olimpicos  de  Pekin  de  agosto  para  no  dar  mala  imagen.  Los 
chinos  acuden  en  masa  a  paises  vecinos  a  comprar  leche,  que  debe  ser  racionada.  Se  detectarian  partidas 
de  este  tipo  de  leche  en  Espana. 

_  El  SIMO  se  cancela  debido  a  la  crisis.  La  Feria  Internacional  de  Informatica,  Multimedia  y 
Telecomunicaciones  no  celebra  su  48°  edition  tras  el  anuncio  de  las  grandes  empresas  del  sector  de  que 
no  acudiran  al  encuentro. 

_  El  26  de  septiembre  muere  Paul  Newman,  el  gran  actor  americano  nacido  en  1925. 

_  El  28  de  septiembre,  la  SpaceX  Falcon  1  es  el  primer  vehiculo  espacial  desarrollado  de  forma  privada 
que  es  lanzado  en  orbita. 

_  En  octubre  la  crisis  continua.  George  W.  Bush  firma  el  plan  de  emergencia  de  estabilizacion  de  la 
economia,  creando  de  la  nada  700  mil  millones  de  dolares  para  comprar  activos  bancarios. 

_  El  4  de  noviembre  Barack  Obama  es  elegido  presidente  en  las  elecciones  generates  de  Estados 
Unidos.  Es  el  primer  presidente  afroamericano  en  la  historia  del  pais,  y  se  entiende  como  un  cambio 
radical  tras  la  criticada  gestion  de  su  predecesor  George  W.  Bush.  Obama  realiza  una  exitosa  campana 
de  marketing  a  traves  de  Facebook,  atrayendo  a  los  jovenes  que  buscan  el  cambio  con  las  redes  sociales  y 
las  nuevas  tecnologias.  Su  rival  en  las  elecciones,  John  McCain,  sigue  una  campana  de  captation  de  voto 
tradicional  mucho  mas  cara  y,  como  se  demostraria,  no  tan  efectiva  como  la  de  Obama.  Poco  despues 
materializaria  varias  promesas  electorates,  que  consistian  basicamente  en  deshacer  el  camino  hacia  la 
guerra  iniciado  por  Bush. 

_  Durante  noviembre,  se  intensifica  el  debate  sobre  la  necesidad  de  regulacion  profesional  de  la 
Informatica  en  Espana.  Se  convocan  varias  manifestaciones. 

_  A  principios  de  diciembre  se  producen  revueltas  en  Grecia,  a  causa  de  la  muerte  de  un  adolescente 
de  15  anos  por  un  disparo  de  las  fuerzas  especiales  de  la  policia  griega. 

_  Se  anade  un  segundo  extra  al  ano  el  dia  31  de  diciembre. 


Seguridad  Informatica 


_  Se  elimina  la  opcion  de  “no-distribucion”  en  VirusTotal.  Bernardo  Quintero 
ofrece  una  amplia  explication  de  los  motivos  en  el  blog  de  VirusTotal,  en  ingles,  y  se  disculpa 
por  los  usuarios  legitimos  de  esta  opcion.  Sin  duda,  es  en  los  comentarios  de  esta  entrada 
en  ingles  donde  mas  se  insulta  a  Hispasec  en  general  y  a  familiares  de  muchos  en  particular  por  el  hecho 
de  eliminarla.  Esta  opcion  permitia  el  envio  a  VirusTotal.com  de  una  muestra  sin  que  esta  fuese  reportada 
de  forma  automatica  a  las  casas  antivirus,  aun  si  era  clasificada  como  malware  por  algun  motor.  Aunque 
se  afirma  y  (se  hace)  que  se  pueden  plantear  soluciones  para  quien  especificamente  lo  requiera,  muchos 
prefieren  abandonar  el  uso  del  servicio  no  sin  antes  manifestarlo  publicamente  en  comentarios  en  el  blog. 
La  reaction  en  Espana  es  mucho  menos  impactante.  Afortunadamente,  la  carga  y  uso  de  VirusTotal.com 
no  se  resiente,  es  mas,  aumenta. 
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_  Se  encuentra  la  enesima  vulnerabilidad  que  permite  la  ejecucion  de  codigo  en  RealPlayer.  Es  explotada 
antes  de  que  exista  solution.  Los  atacantes  se  cuelan  en  servidores  que  alojan  paginas  e  incrustan  sus 
propios  IFRAMEs  para  infectar  a  los  visitantes.  Se  estima  que  existen  unas  80.000  paginas  legitimas 
alteradas  con  exploits  para  este  fallo  que  permiten  aprovechar  la  vulnerabilidad  e  instalar  algun  tipo  de 
malware.  Todo  tipo  de  webs  se  ven  afectadas  por  este  problema:  desde  gobiernos  a  grandes  empresas 
pasando  por  bancos. 

_  La  empresa  Sentrigo  publica  una  encuesta  sobre  seguridad  en  Oracle.  Los  resultados  materializan  la 
sensation  generalizada  del  problema  de  la  gestion  de  seguridad  de  Oracle.  Dos  tercios  de  los  administradores 
no  parchean  sus  bases  de  datos. 


El  grupo  29A  anuncia  oficialmente  su  retirada.  Se  trata  un  sintoma  mas  de  que  hace  ya 
tiempo  se  termino  la  epoca  romantica  de  la  creacion  de  virus.  Representaron  la  elite  en 
cuanto  a  creacion  de  virus  se  refiere,  era  realmente  un  laboratorio  de  l+D  en  Espana.  De 
marcado  caracter  underground  (29A  es  666  en  hexadecimal)  mantuvieron  un  altisimo  nivel 

de  VirusCoding  desde  su  creacion  con  especfmenes 
que  innovaron  en  su  momento  en  el  mundo  de  la 
codificacion  virica.  Sus  miembros  desarrollaron  los 
troyanos  mas  punteros  de  la  epoca,  por  ejemplo, 
aprovechando  Internet  cuando  no  era  tan  habitual 
estar  conectado  a  la  red.  Entre  otros,  programaron  el 
virus  HPS,  que  levanto  polemica  por  ser  el  primer  virus 
polimorfico  disenado  para  Windows  98. 

En  realidad  se  trataba  de  un  virus  creado  para  obtener  la  atencion  de  los  medios,  puesto 
que  deliberadamente  comprobaba  al  inicio  de  su  ejecucion  la  version  del  sistema 
operative,  y  solo  continuaba  sus  acciones  si  era  Windows  98.  A  los  creadores  de  29A  tambien 
les  gustaba  jugar  con  los  laboratorios  y  los  medios  de  comunicacion,  y  en  este  caso  les 
siguieron  el  juego  (de  forma  premeditada  o  no).  La  CNN  dijo  de  el  “Un  virus  se  adelanta 
a  la  salida  del  sistema  operativo".  Eso  fue  el  detonante  de  una  explosion  de  noticias  en 
periodicos.  Crearon  “Marburg",  el  primer  virus  polimorfico  de  32  bits,  propagado  por  el 
mundo  a  gran  velocidad,  protagonizando  diversos  incidentes.  Las  revistas  PcGamer  y  Pc 
Power  Play  contenfan  varios  programas  infectados  en  los  discos  que  las  acompanaban. 

El  CDROM  del  juego  MGM/Wargames  salia  al  mercado  infectado.  Llenaba  el  escritorio 
de  iconos  de  error  critico  de  Windows,  un  circulo  rojo  con  un  aspa  blanca.  MrSandman 
escribio  Esperanto,  el  primero  capaz  de  ejecutarse  tanto  en  Windows  como  en  MacOS. 
GriYo,  MrSandman,  y  VirusBuster,  era  los  miembros  mas  activos.  Precisamente  VirusBuster 
es  el  que  pone  punto  y  final  al  grupo,  al  considerarse  ultimo  miembro  activo  y  no  poder 
contactor  con  el  resto.  Desde  1998,  Bernardo  Quintero  los  conocia  bien,  por  analizar  sus 
creaciones  desde  hacia  mas  de  una  decada.  De  una  de  las  entrevistas  exclusivas  que 
Antonio  Ropero  publico  en  PCActual  en  1998,  se  puede  extraer: 

iCual  es  el  futuro  de  los  virus? 

Las  nuevas  plataformas  son  coda  dia  mas  potentes,  pero  a  la  vez  mas  complejas.  Desarrollar 
virus  sera  cada  vez  una  labor  mas  complicada,  y  requerira  mas  tiempo  y  mas  recursos. 
Los  virus,  tal  y  como  ahora  los  conocemos,  desapareceran,  para  dar  lugar  a  sofisticados 
hackers  electronicos  desarrollados  al  amparo  de  instituciones  gubernamentales.  Toma  ya!  * 
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Proyectos  actuales  y  metas  a  medio  plazo. 

Pronto  tendre  acabado  un  virus  nuevo,  me  gusta  llamarlo  “virus  de  nueva  generacion”, 
puesto  que  aplica  conceptos  nuevos  que  pronto  seran  muy  comunes.  Te  puedo  avanzar 
que  Internet  es  tan  importante  para  este  virus  como  los  ficheros  .EXE  lo  han  sido  para  los 
virus  tradicionales. 


_  F-Secure  opina  que  en  el  futuro,  ademas  de  las  localizaciones  habituales  donde  se  origina  el  malware 
actual,  Africa  y  Centroamerica  representaran  una  nueva  fuente  de  crimen  informatico 
organizado. 


Se  presenta  la  AMTSO  (Anti-Malware  Testing  Standards 
Organization).  Es  una  iniciativa  de  la  industria  antivirus  para 
estandarizar  comparativas.  Aunque  su  primera  reunion  informal 
tuvo  lugar  en  Reykjavik  (Islandia)  en  mayo  de  2007,  se  decide 
organizar  una  reunion  formal  para  dar  cuerpo  a  esta  iniciativa  en  enero  de  2008.  Mas 
de  40  miembros  de  distintos  paises  implicados  en  el  tema  (casas  antivirus,  testeadores 
profesionales  de  antivirus  y  otras  figuras  de  esta  industria  tecnologica)  conforman  las  bases 
de  esta  organizacion  cuyo  fin  es  el  de  crear  una  serie  de  guias  y  herramientas  que  ayuden 
a  mejorar  la  calidad  y  la  objetividad  de  las  comparativas  que  se  realizan  hoy  en  dia. 

Ademas  de  Hispasec,  la  AMTSO  incluye  a  representantes  de  ALWIL  Software,  AV- 
Comparatives,  AV-Test.org,  AVG  Technologies,  Avira  GmbH,  Bit9,  BitDefender,  Dr.  Web,  Ltd., 
ESET,  F-Secure  Corporation,  G  DATA  Software,  International  Business  Machines  Corporation, 
Kaspersky  Lab,  McAfee,  Inc.,  Microsoft  Corp.,  Norman  ASA,  Panda  Security,  PC  Tools,  Sana 
Security,  Secure  Computing,  Sophos  Pic,  Symantec  Corporation,  Trend  Micro  Incorporated 
y  Virusbuster  Ltd. 


_  La  version  2.0.0.12  de  Firefox  corrige  (entre  otras)  una  vulnerabilidad  descubierta  por  Gynvael 
Coldwind  (Michael),  de  Hispasec.  La  Fundacion  Mozilla  publica  la  actualizacion  2.0.0.12  para  sus 
productos,  solucionando  mas  de  10  problemas  de  seguridad.  Una  de  las  vulnerabilidades  que  permite 
obtener  informacion  sensible  del  usuario  es  descubierta  por  el  equipo  tecnico  de  Hispasec  Sistemas.  Se 
publica  un  detallado  estudio  posteriormente,  cuando  por  fin  otros  navegadores  que  se  veian  afectados 
(todos  menos  Internet  Explorer)  solucionan  el  problema. 

_  La  primavera  se  adelanta  en  Hispasec  y  creamos  unas  nuevas  camisetas  exclusivas  con  las  que 
se  premia  a  los  ganadores  de  un  pequeno  concurso  de  critografia  que  ponemos  en  marcha. 
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_  Se  popularizan  los  archivos  PDF  que  aprovechan  vulnerabilidades  en  Adobe  Reader  para 
infectar  sistemas.  Adobe  publica  una  alerta  de  seguridad  en  su  lector  PDF.  Uno  de  estos  fallos  esta  siendo 
aprovechado  para  instalar  malware,  en  concreto  Zonebac.  El  usuario  quedarla  infectado  con  solo  abrir 
un  archivo  PDF  con  Adobe  Acrobat  anterior  a  la  version  8.1.2.  Zonebac  es  un  malware  especializado  en 
adware  y  el  payload  del  ataque  se  descarga,  como  viene  siendo  habitual,  de  un  servidor  remoto  (no  va 
incluido  en  el  PDF  que  esta  siendo  distribuido). 

_  Aparece  una  grave  vulnerabilidad  en  el  kernel  de  Linux  anterior  al  2.6.22.17  que  permite  elevar 
privilegios  a  root.  Se  hace  publico  un  exploit.  Son  decenas  de  distribuciones  las  que  se  ven  afectadas.  El 
goteo  de  parches  de  distintas  casas  es  continuo. 

_  Se  descubren  nuevos  metodos  para  intentar  eludir  los  filtros  antispam.  Uno  de  ellos  es  valerse  de 
los  mensajes  automaticos  de  “fuera  de  la  oficina”  que  utilizan  algunos  servicios  de  webmail  legitimos. 
Los  spammers  se  dan  de  alta  en  una  cuenta  de  correo  (gratuita)  que  ofrezca  la  funcionalidad  de  “auto¬ 
responder”.  En  esta  notification  se  suele  anadir  hasta  que  fecha  se  estara  fuera,  telefonos  de  contacto 
adicionales...  etc.  Son  muy  usados  precisamente  en  las  oficinas  para  indicar  las  vacaciones  o  periodos  en 
los  que  no  se  revisara  el  correo.  Cada  correo  enviado  a  esa  cuenta  con  la  funcionalidad  activada,  generara 
un  correo  de  vuelta  a  quien  lo  envio  con  information  en  principio  util.  Lo  que  hacen  los  spammers  es 
configurar  la  respuesta  de  “fuera  de  la  oficina”  con  el  contenido  basura  y  bombardear  esa  misma  cuenta 
con  emails  con  el  campo  ‘desde’  (from)  falseado  con  listas  de  victimas  de  spam.  Otro  metodo  de  moda  en 
ese  momento  implica  el  uso  de  Google  Calendar,  por  ejemplo. 

_  Cisco  anuncia  importantes  cambios  en  la  planificacion  de  sus  alertas.  Decide  publicar  sus  parches  de 
seguridad  cada  seis  meses,  en  el  cuarto  miercoles  de  marzo  y  el  cuarto  miercoles  de  septiembre.  Se  une 
asi  a  la  politica  de  alertas  de  seguridad  programada  de  Microsoft  y  Oracle,  entre  otros.  Las  alertas  asi 
programadas  solo  afectan  a  su  sistema  operativo  IOS. 

_  Apple  Mac  OS  X  comienza  el  ano  publicando  un  mega  parche  que  soluciona  90  fallos  de  seguridad. 
El  numero  de  vulnerabilidades  aumenta  en  cada  superparche  publicado  y  su  gestion  de  la  seguridad  lleva 
meses  cuestionada.  Mas  tarde  ese  mismo  ano  lo  demostraria  al  ser  el  ultimo  gran  fabricante  en  dar  solution 
al  gravisimo  problema  con  los  DNS  descubierto  por  Kaminsky. 

_  En  mayo,  durante  el  congreso  de  seguridad  Confidence  2008  en 
Cracovia,  el  equipo  de  Hispasec  alcanza  “The  Perfect  Score”  en  el  reto 
planteado,  salvando  todas  las  dificultades  tecnicas.  En  momentos  de 
asueto,  Emiliano,  Michael  y  Martin  se  codean  con  Joana  Rutowska. 

Julio  se  conforma  con  hacer  la  fotografia. 


_  Microsoft  publica  una  alerta  oficial  sin  parche.  Se  observa  un  repunte  en  los  ataques  que  aprovechan 
vulnerabilidades  en  el  Jet  Database  Engine  de  Microsoft,  que  procesa  archivos  MDB  de  bases  de 
datos.  Esta  libreria  (en  concreto  msjet40.dll)  sufre  desde  hace  afios  varios  problemas  de  seguridad  que 
permiten  la  ejecucion  de  codigo.  Los  atacantes  envian  estos  ficheros  por  correo  y,  al  ser  una  extension 
“habitual”  e  inofensiva  para  muchos  usuarios,  el  atacante  consigue  su  objetivo.  No  se  descubre  una  nueva 
vulnerabilidad,  sino  una  ingeniosa  forma  de  aprovechar  fallos  relativamente  antiguos.  Hasta  ahora,  las 
dos  vulnerabilidades  mas  graves  encontradas  en  esta  libreria  se  hicieron  publicas  a  mediados  de  2005  y 
finales  de  2007  y,  aunque  los  fallos  son  activamente  aprovechados  por  atacantes,  no  han  sido  corregidos. 
Microsoft  considera  publicamente  que  los  ficheros  MDB  son  “cuasi”  ejecutables,  inherentemente  inseguros, 
y  que  el  hecho  de  que  se  pueda  ejecutar  codigo  a  traves  de  ellos  no  debe  escandalizar  mas  que  el  hecho  de 
que  alguien  haga  doble  click  sobre  un  .exe  y  espere  que  algo  sea  ejecutado  en  el  sistema.  Pero  se  descubre 
que,  ingeniosamente,  ahora  se  consigue  que  sea  explotable  a  traves  de  archivos  .DOC  y  no  directamente 
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desde  los  MDB,  (que  Microsoft  bloquea  en  sus  clientes  de  correo).  La  ‘excusa’  de  que  los  MDB  son  inseguros 
y  por  ello  no  es  necesario  parchear  la  libreria,  deja  de  ser  valida.  La  libreria  seria  parcheada  y  distribuida 
poco  despues. 

_  Una  central  nuclear  en  Georgia  debe  realizar  un  apagado  de  emergencia  durante  48  horas  tras  la 
instalacion  de  una  actualizacion  de  seguridad  que  desestabiliza  un  ordenador,  perteneciente  a  la  red  de 
control  de  la  planta. 

_  En  junio  Eva  Chen,  cofundadora  y  CEO  de  Trend  Micro,  declara 
“la  industria  antivirus  apesta”.  Los  atacantes  van  por  delante 
y  la  industria  se  ha  quedado  atras.  Esta  harta  de  invertir  y  no 
obtener  los  resultados  esperados.  Los  niveles  de  infeccion  son  cada 
vez  mayores  y  no  hay  visos  de  mejora  a  no  ser  que  se  modifique 
radicalmente  la  filosofia  que  hasta  ahora  han  venido  arrastrando 
los  antivirus. 

_  La  version  2.0.0.14  del  navegador  Firefox  corrige  una  sola 
vulnerabilidad,  algo  nada  habitual  teniendo  en  cuenta  que  cada 
nueva  version  soluciona  normalmente  entre  4  y  8  vulnerabilidades.  El  problema  de  seguridad 
que  corrige,  ademas,  tiene  su  origen  en  una  actualizacion  anterior.  La  version  2.0.0.13  corregia  una  sola 
vulnerabilidad  descrita  como  una  denegacion  de  servicio  a  traves  del  recolector  de  basura  de  JavaScript. 
El  problema  es  que  se  sabe  que  bajo  ciertas  circunstancias,  “cuelgues”  de  esta  misma  naturaleza  han 
podido  llegar  a  ser  explotables  en  el  pasado,  y  por  tanto,  permitir  la  ejecucion  de  codigo.  Para  estas  fechas, 
Firefox  tiene  casi  entre  un  16  y  un  20%  de  mercado.  Internet  Explorer  entre  un  73  y  un  78%,  Safari  entre 
un  3  y  un  6%  y  Opera  un  0.80%. 


_  Hispasec  participa  en  un  taller  de  trabajo  de  un  proyecto  europeo  llamado  FORWARD.  Basicamente 
se  trata  de  una  iniciativa  de  la  Union  Europea  que  intenta  crear  un  grupo  de  expertos  en  materia  de 
seguridad  informatica  que  ayude  no  solo  a  ver  con  perspectiva  lo  que  ocurre  en  estos  momentos  en  el 
mundo,  sino  que  tambien  se  aporten  ideas  sobre  cuales  se  sospecha  seran  las  futuras  amenazas  a  largo 
plazo.  El  primer  workshop  se  celebra  en  Gotteborg,  Suecia.  Esta  organizado  por  la  Universidad  Tecnologica 
de  Chalmers,  uniendo  la  experiencia  de  empresas,  universidades  y  entidades  como  la  propia  Comision 
de  la  Union  Europea  que  se  encarga  de  estudiar  estos  asuntos.  Entre  los  participantes  se  encuentran: 
Banco  de  Austria,  Boeing,  British  Telecom,  Cisco,  Combitech,  Deep  Blue,  EADS,  ENISA,  FORTH,  France 
Telecom,  Fraunhofer,  G-Data,  Hispasec  ,  Hitachi,  Instituto  Eurecom,  Instituto  Waterford  de  Tecnologia, 
Institute  de  Ciencias  de  la  Computation  (Grecia),  Ipp-BAS,  Joint  Research  Centre  of  the  UC,  Nokia,  Packet 
General  Networks,  Panda  Security,  Parque  Cientihco  de  Lindholmen,  SEMA,  SINTEF,  Symantec,  S21 
Sec,  Telekom  Austria,  TeliaSonera,  TU  Darmstadt, 

Universidad  de  Mannheim,  Universidad  de  Ulm, 

Universidad  de  Vrije,  Universidad  Northeast, 

Universidad  de  Columbia,  Universidad  Carnegie 
Mellon,  Universidad  Tecnica  de  Viena,  Universita 
degli  Studi  di  Milano,  Universidad  Tecnologica  de 
Chalmers,  Virgin  Charter,  Volvo,  Universidad  de  Koc 
y  UCSB  (USA). 
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_ 


_  Symantec,  curioseando  en  los  archivos  de  ayuda  del  paquete  de  malware  Zeus,  descubre  un  curioso 
“acuerdo”.  Zeus  crea  una  botnet  con  una  interfaz  muy  comoda  con  la  que  manejar  a  los  zombis.  En  su 
acuerdo  de  licencia,  aparte  de  la  prohibition  expresa  de  distribution  descontrolada,  aplicar  ingenieria 
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inversa  y  demas  condiciones  que  se  aplican  en  las  licencias  “habituales”  de  software,  se  puede  leer  (en 
ruso):  “En  caso  de  que  se  detecte  la  violation  de  los  acuerdos,  el  cliente  pierde  el  soporte  tecnico.  Ademas, 
el  codigo  binario  de  la  botnet  sera  enviado  inmediatamente  a  las  casas  antivirus.” 

_  Segun  G  Data,  Espana  ocupa  el  noveno  puesto  mundial  en  numero  de  sistemas  zombi,  casi 
en  empate  tecnico  con  Estados  Unidos  y  Rusia.  Lo  que  ademas  indica  que  somos  grandes  productores  de 
spam,  una  de  las  funciones  mas  importantes  de  los  sistemas  secuestrados.  El  informe  esta  realizado  por 
G  Data  segun  la  geolocalizacion  de  las  direcciones  IP.  El  numero  de  zombis  utilizados  cada  dia  ronda  una 
media  de  350.000,  con  momentos  en  los  que  se  utilizan  hasta  700.000  ordenadores  para  los  distintos  fines 
de  estas  botnets.  De  los  diez  paises  mas  infectados,  la  mayoria  pertenecen  a  Europa.  Segun  el  informe,  es 
el  continente  que  goza  de  lineas  de  conexion  mas  rapidas  y  mayor  numero  de  ordenadores. 

_  Microsoft  lanza  el  Service  Pack  3  para  el  sistema  operativo  mas  popular  de  la  compania.  Tras  un 
pequeno  retraso  por  cierta  incompatibilidad  con  su  Dynamics  RMS,  se  ofrece  para  descarga  directa. 

_  El  plugin  del  idioma  vietnamita  para  Firefox  2  es  distribuido  desde  el  sitio  oficial  (y  durante  semanas) 
infectado  con  adware.  Window  Snyder,  responsable  de  seguridad  de  Mozilla,  declara  “todo  el  que 
haya  descargado  una  copia  del  paquete  de  idioma  vietnamita  desde  el  18  de  febrero,  esta  infectado”.  Esto 
motivaria  un  mayor  control  sobre  los  repositories  de  plugins  de  la  fundacion. 

_  En  julio  Bernardo  Quintero  es  nombrado  MVP  de  seguridad  (Most  Valuable  Proffesional).  El 
promotor  de  la  nomination  es  Chema  Alonso  (MVP  de  Seguridad  en  Microsoft,  de  Informatica64),  el  otro 
(y  tercero  hasta  la  fecha)  MVP  de  seguridad  en  Espana.  A  pesar  de  que  Bernardo  ha  sido  muy  critico  con 
la  seguridad  de  Microsoft,  el  galardon  es  otorgado  por  su  extraordinaria  independencia,  nivel  tecnico  y 
objetividad. 


Es  el  ano  del  descubrimiento  de  grandes  fallos  catastroficos.  La  criptografia  en  Debian 
sufre  un  grave  reves.  Se  descubre  que  el  generador  de  numeros  aleatorios  del  paquete 
OpenSSL  de  Debian  es  predecible.  Esto  hace  que  las  claves  generadas  con  el  ya  no  sean 
realmente  fiables  o  verdaderamente  seguras.  El  problema  tiene  (y  tendra  por  muchos 
anos)  una  importante  repercusion  y  numerosos  efectos  colaterales  en  otros  paquetes  y 
distribuciones.  Luciano  Bello,  desarrollador  de  Debian,  daba  la  voz  de  alarma.  Solo  afecta 
al  OpenSSL  de  Debian  porque  esta  distribucion  parchea  su  propia  version  de  OpenSSL, 
a  su  manera.  En  este  caso,  elimina  una  llnea  crucial  de  codigo  que  limita  al  generador 
a  producir  solo  2M8  claves  (solamente  262.144),  en  vez  de  poder  elegir  claves  de,  por 
ejemplo  2A1.024  posibilidades.  La  noticia  capta  la  atencion  de  los  medios.  No  solo  Debian 
se  ve  afectada,  sino  cualquier  distribucion  que  use  certificados  y  claves  generadas  con  el 
paquete  vulnerable  desde  2006.  Afecta  a  las  comunicaciones  SSH  que  se  autentican  con 
claves  asimetricas  e  incluso  certificados  SSL  alojados  en  paginas  web.  Con  el  tiempo  se 
sabrfa  que  el  fallo  seria  aprovechado  por  atacantes  para  acceder  a  sistemas  legitimos. 


_  Despues  de  algo  mas  de  un  ano  de  trabajo  entre  bambalinas,  y  bajo  el  amparo  de  la  Union  Europea, 
comienza  su  andadura  el  proyecto  WOMBAT  (Worldwide  Observatory  of  Malicious  Behaviors 
and  Attack  Threats),  formado  por  un  grupo  de  universidades  y  empresas  internacionales,  entre  las  que 
se  encuentra  Hispasec. 

Basicamente,  WOMBAT  pretende  recolectar  grandes  cantidades  de  information  sobre  elementos 
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maliciosos  que  puedan  afectar  tanto  a  empresas  como  a  usuarios.  Realizado  en 
tiempo  real,  no  se  pretende  solamente  tener  una  vision  mas  real  de  lo  que  realmente 
sucede  en  Internet,  sino  modelar  estos  comportamientos  en  la  medida  de  lo  posible. 

En  la  lista  de  participantes  en  este  proyecto  se  cuenta  con  la  participation  de  varias 
universidades.  La  Universidad  Tecnica  de  Viena  y  la  gente  que  desarrollo  Anubis, 
tambien  la  Universidad  de  Vrije  (Amsterdam),  que  entre  otras  cosas  aportara  su  experiencia  en  diversos 
tipos  de  honeypots.  La  Politecnica  de  Milan  aportara  tambien  su  conocimiento  en  estas  lides,  que  incluye 
aspectos  tan  interesantes  como  las  tecnologias  IDS.  Por  parte  de  los  CERT,  se  cuenta  con  la  experiencia 
de  NASK  (Polonia),  y  tambien  con  la  perspectiva  de  los  ISPs  gracias  a  la  elaboration  del  departamento  de 
I+D  de  France  Telecom  (Orange).  Desde  Hispasec  colaboraremos  con  nuestra  experiencia  en  el  mundo  del 
malware,  y  con  la  perspectiva  que  nos  da  mantener  en  funcionamiento  VirusTotal. 

_  Se  detecta  una  ola  de  troyanos  bancarios  que  tienen  como  objetivo  a  los  clientes  de  ING  Direct 
Espana  (ingdirect.es).  Los  troyanos  capturan  todos  los  datos  necesarios  para  suplantar  la  identidad 
de  los  usuarios  legitimos,  incluyendo  la  tarjeta  de  coordenadas  para  poder  realizar  transferencias  desde 
sus  cuentas. 

_  Se  lanza  Firefox  3  con  gran  exito  (animado  por  una  campana  que  pretende  romper  el  record  de  descarga 
durante  las  primeras  24  horas  de  disponibilidad).  Zero  Day  Initiative  (ZDI)  publica  el  descubrimiento  de 
un  agujero  de  seguridad  tan  solo  5  horas  despues  (aunque  es  bastante  mas  que  probable  que  tuvieran 
conocimiento  del  fallo  desde  la  aparicion  de  las  primeras  betas,  pero  hubiesen  esperado  al  lanzamiento 
oficial  para  hacerlo  publico).  Los  investigadores  de  ZDI  confirman  que  la  vulnerabilidad  podria  permitir 
la  ejecucion  de  codigo  arbitrario  de  forma  remota  con  los  permisos  del  usuario  ejecutando  la  aplicacion, 
aunque  el  fallo  no  parece  estar  siendo  explotado. 


WOMBAT 


Desde  el  8  de  julio  se  produce  uno  de  los  episodios  mas  curiosos  vividos  nunca  en  la  Red. 
Se  publica  ese  dla  una  actualizacion  masiva  para  la  mayoria  de  los  dispositivos  en  Internet 
que  utilizan  DNS.  Se  dice  que  habia  sido  descubierta  una  vulnerabilidad  que  permitia 
falsificar  las  respuestas  DNS  y,  por  tanto,  redireccionar  el  trafico.  Casi  todos  los  grandes  y 
pequenos  fabricantes  y  programadores  actualizan  sus  sistemas  y  se  intentan  mantener  los 
detalles  tecnicos  de  la  vulnerabilidad  ocultos,  por  la  gravedad  y  el  potencial  impacto  que 
podria  suponer.  Cisco,  Microsoft,  BIND...  todos  publican  una  nueva  version  o  actualizan 
sus  sistemas  para  solucionar  un  misterioso  fallo.  Con  la  minima  informacion  disponible,  y 
un  poco  de  ingenieria  inversa,  las  especulaciones  comienzan  a  volcarse  en  Internet.  Se 
sabe  que  los  parches  anaden  aleatoriedad  al  calculo  de  puertos  e  identificadores.  Este 
es  un  problema  endemico  del  protocolo  DNS  y  desde  hace  mucho  se  sabe  que  no  es  la 
mejor  solucion  para  asegurarlo.  Es  por  esto  que  se  apuesta  desde  un  principio  por  que 
la  vulnerabilidad  de  Kaminsky  se  trata  en  realidad  de  una  nueva  forma  mas  eficaz  de 
enganar  a  los  servidores  DNS  para  que  den  respuestas  falsas,  gracias  a  un  fallo  inherente 
del  protocolo  (y  asi  se  confirmaria).  Dan  Kaminsky  es  el  responsable  de  orquestar  la  macro 
actualizacion  y  el  que  encuentra  el  gravisimo  fallo.  Afirma  que  dara  los  detalles  tecnicos 
durante  la  conferencia  Black  Hat  en  agosto.  Pero  se  le  adelantan.  Thomas  Dullien,  el  CEO 
de  la  compania  Zynamics  (tambien  conocido  como  Halvar  Flake),  se  aventura  semanas 
despues  a  publicarensu  blog  suparticularvisiondelo  que  podia  serel  problema  descubierto 
por  Kaminsky,  sin  tener  conocimiento  previo  de  los  detalles.  Y  no  se  equivoca  en  su  teoria. 
Por  si  fuera  poco,  seria  accidentalmente  confirmado  desde  el  blog  de  una  empresa  que 
conocia  a  fondo  la  vulnerabilidad.  Finalmente  los  detalles  se  harian  publicos,  demostrando 
que  mantener  un  grave  problema  en  secreto  hasta  que  exista  parche,  es  factible  siempre 
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que  no  se  diga  que  existe.  Esto  harfa  que  se  replanteara  lo  debil  de  algunos  protocolos 
que  sustentan  la  red  y  que  fueron  disenados  en  otros  tiempos. 

II 


_  A  finales  de  julio  se  crea  un  gran  revuelo  con  la  aparicion  de  un  nuevo  troyano  que  afecta  a  archivos 
multimedia.  Este  malware,  que  muchas  casas  antivirus  denominan  GetCodec,  emplea  una  tecnica  de 
infeccion  que  no  habia  sido  vista  hasta  el  momento.  Hispasec  publica  un  amplio  estudio  tecnico  al  respecto. 
Se  propaga  encubierto  como  cracks  en  paginas  de  warez  y  cracks.  Es  totalmente  silencioso,  lo  que  induce  a 
pensar  que  tan  solo  se  trata  de  otro  crack  corrupto  mas.  Tras  su  ejecucion,  el  troyano  busca  todos  aquellos 
archivos  con  extensiones  .MP2  .MP3  .WMA  .WMV  .ASF.  El  formato  ASF  es  un  formato  propietario  de 
Microsoft  empleado  por  Windows  Media  Player  que  permite  introducir  secuencias  ejecutables  en  flujos 
de  audio/video.  El  troyano  aprovecha  esta  propiedad  para  introducir  en  los  archivos  multimedia  de  la 
victima  una  secuencia  que  solicita  la  descarga  de  un  codec  falso  desde  un  Sitio  Web.  Este  codec  es  a  su 
vez  otro  troyano,  aunque  la  tecnica  podria  emplearse  para  servir  cualquier  tipo  de  contenido.  Este  metodo 
de  infeccion  tambien  funciona  con  los  archivos  MPx  porque  el  troyano  los  convierte  primero  a  formato 
ASF  para  despues  inyectarles  el  codigo  malicioso.  De  forma  que  un  archivo  con  extension  .MP3  puede 
estar  infectado.  El  especimen  modifica  la  configuration  del  usuario  de  tal  forma  que  este  nunca  llega  a 
notar  que  sus  archivos  multimedia  han  cambiado,  sin  embargo,  todo  aquel  que  no  este  infectado  e  intente 
reproducirlos  si  notara  el  cambio.  Cuando  se  reproduce  un  archivo  multimedia  infectado,  en  una  maquina 
limpia,  Windows  Media  Player  despliega  una  ventana  solicitando  la  descarga  de  un  codec  falso.  Este  codec 
puede  ser  cualquier  otro  tipo  de  malware.  Al  aceptar  la  descarga  se  produce  la  infeccion.  Hispasec  crea 
una  herramienta  especifica  para  eliminar  este  troyano. 

_  “Como  impresionar  a  las  chicas  traspasando  la  proteccion  de  memoria  con  el  navegador”. 

Con  ese  jocoso  titulo,  los  investigadores,  Alexander  Sotirov  y  Mark  Dowd,  muestran  a  una  expectante 
audiencia  en  las  conferencias  Black  Hat  2008  como  traspasar  las  protecciones  de  memoria  de  Windows 
Vista  y  ejecutar  a  traves  del  navegador  cualquier  tipo  de  codigo.  Consiguen  burlar  el  ASLR  y  el  DEP  bajo 
ciertas  circunstancias.  Estas  son  dos  de  las  soluciones  introducidas  y  potenciadas  en  Microsoft  Vista  con 
respecto  a  la  seguridad.  Los  investigadores  se  saltan  estas  barreras. 

_  A  principios  de  septiembre  Google  lanza  (despues  de  muchos  rumores)  casi  por  sorpresa 
(como  suele  hacer  con  todo)  su  nuevo  navegador,  conocido  como  Chrome.  Una 
semana  despues,  Internet  se  inunda  de  comentarios  sobre  todos  los  aspectos  de  esta  nueva 
aplicacion  y  en  particular  sobre  su  seguridad.  Muchos  comentarios,  exploits,  actualizaciones 
y  aclaraciones  despues,  el  gobierno  aleman  desaconseja  explicitamente  el  uso  de  este 
navegador,  mas  por  la  acaparacion  de  datos  personales  que  puede  llegar  a  realizar  Google  que  por  el 
problema  que  el  navegador  en  cuestion  de  seguridad  puede  suponer.  Algunas  de  las  vulnerabilidades 
encontradas  son  serias,  la  mayorla  sin  embargo,  simples  denegaciones  de  servicio.  El  navegador  se  hace 
muy  popular  durante  algunas  horas,  alcanzando  cotas  de  uso  de  hasta  el  7%.  Pero  rapidamente  la  moda 
pasa  y  pocos  vuelven  a  usarlo  tras  una  primera  impresion.  En  realidad  el  navegador,  aunque  innovador 
en  algunos  aspectos,  carece  absolutamente  de  funcionalidades  practicas  e  imprescindibles  con  las  que  ya 
cuentan  sus  competidores.  Google  debe  ademas  modificar  su  EULA  (End  User  License  Agreement)  initial 
por  resultar  sorprendentemente  abusiva  con  los  datos  personales. 

_  El  10  de  septiembre,  el  Daily  Telegraph  alerta  de  que  un  grupo  de  atacantes  griegos  ha  desfigurado  una 
de  las  paginas  relacionadas  con  el  famoso  LHC  (Large  Hadron  Collider).  El  experimento  cuenta 
obviamente  con  una  inmensa  red  de  sistemas  conectados.  Una  de  las  paginas  publicas  (www.cmsmon. 
cern.ch),  forma  parte  del  CMSMON,  que  controla  el  software  que  utilizan  los  cientificos  para  analizar 
los  resultados  de  las  colisiones.  La  idea  era  usar  esta  pagina  para  que  todo  el  mundo  pudiese  disfrutar  en 
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directo  de  los  resultados  obtenidos.Aparece  desfigurada  y  con  un  mensaje  escrito  probablemente  por  un 
grupo  de  atacantes  de  poca  monta.  Calificaban  de  ninatos  a  los  responsables  de  seguridad  de  la  red,  que 
en  ultima  instancia  es  el  CERN  (European  Organization  for  Nuclear  Research).  En  la  pagina  se  ofrecen 
ciertas  evidencias  de  que  quizas  podrian  haber  llegado  un  poco  mas  lejos  de  la  simple  desfiguracion  de  la 
pagina.  Una  de  las  declaraciones  del  portavoz  del  CERN,  James  Gillies,  aparecidas  en  la  nota  original  del 
Daily  Telegraph  es  que:  “Tenemos  diferentes  niveles  de  red,  una  red  de  acceso  general  y  una  mucho  mas 
restringida  para  las  cosas  sensibles  que  hacen  funcionar  el  LHC”  pero  esta  afirmacion  logica  es  omitida 
en  otros  medios  en  favor  del  sensacionalismo.  No  se  sabe  bien  como,  es  bastante  mas  que  posible  que 
hayan  podido  entrar  en  la  zona  de  acceso  general,  los  vectores  de  ataque  son  muchos.  Sin  embargo,  ese 
salto  a  la  red  verdaderamente  sensible,  por  mucho  que  fanfarroneen  los  atacantes,  habria  sido  mucho  mas 
complejo. 

_  Un  atacante  accede  al  correo  personal  de  Sarah  Palin,  la  candidata  a  vicepresidenta  en  Estados 
Unidos  con  el  republicano  John  McCain.  Se  da  a  conocer  su  email  personal,  alojado  en  el  servicio  de 
correo  publico  de  Yahoo!  y  usado  ademas  para  cuestiones  gubernamentales.  A  un  tal  “Rubico”  le  cuesta 
apenas  una  hora  cambiar  la  contrasena  del  correo  de  Sarah.  Se  hacen  publicas  conversaciones  y  fotografias 
personales.  El  metodo  es  calificado  por  las  agendas  de  noticias  como  “un  magistral  ataque  cirbenetico”.  La 
verdad  es  que  simplemente  se  usa  el  servicio  de  recuperation  de  contrasena,  la  Wikipedia  y  Google  para 
acertar  la  pregunta  secreta  y  poder  acceder  a  los  emails.  Esto  ya  le  ocurrio  a  Paris  Hilton  en  febrero  de 
2005. 

_  En  agosto,  durante  la  Black  Hat,  se  habla  de  nuevo  de  la  mayor  vulnerabilidad  de  Internet  al 
demostrar  dos  investigadores  una  nueva  tecnica  que  permite  interceptar  el  trafico  de  Internet  a  una  escala 
global.  Tony  Kapela  y  Alex  Pilosov  demuestran  por  fin  de  forma  empirica  un  problema  que  se  presuponia 
teorico  hasta  ahora.  Cualquiera  con  un  router  BGP  podria  desviar  el  trafico  de  cualquier  gran  nodo  y 
devolverlo  de  forma  transparente.  Se  trata  de  nuevo  de  un  fallo  de  diseno  en  el  protocolo  BGP  (Border 
Gateway  Protocol)  que  permitiria  interceptar  e  incluso  modificar  todo  el  trafico  de  Internet  no  cifrado. 
BGP  es  un  protocolo  que  se  utiliza  para  intercambiar  tablas  de  enrutamiento  entre  sistemas  autonomos 
(AS).  El  problema  es  que  nunca  se  ha  llegado  a  idear  un  sistema  que  realmente  autentique  a  ambas  partes, 
y  los  routers  esten  asi  seguros  de  que  la  information  recibida  desde  un  AS  es  legitima  y  viene  del  sitio 
adecuado. 

_  Se  detecta  en  Europa  un  timido  intento  de  revivir  los  virus  de  macro,  a  traves  de  un  documento  en 
Microsoft  Word  que  esta  siendo  enviado  a  traves  de  spam.  El  virus  no  representa  ninguna  evolution  del 
concepto  y  no  se  le  espera  repercusion  alguna,  pero  supone  un  renovado  y  discreto  interes  por  este  tipo  de 
malware,  practicamente  extinto  desde  finales  de  los  90. 

_  Por  tercera  vez  en  el  ano,  se  habla  de  la  mayor  vulnerabilidad  encontrada  en  la  Red.  La  compania 
sueca  Outpost24  dice  que  descubrio  en  el  2005  (aunque  lo  saca  a  la  luz  3  anos  despues,  posiblemente 
animada  por  los  acontecimientos  vividos  este  ano  con  el  DNS)  varias  vulnerabilidades  de  base  en  el 
mismisimo  protocolo  TCP/IP  que  podrian  permitir  la  caida  de  cualquier  aparato  con  comunicacion  en 
la  Red.  Es  la  llamada  “denegacion  de  servicio  de  bajo  ancho  de  banda”.  Aunque  no  se  conocen  los  detalles, 
todo  son  conjeturas.  Se  puede  tratar  de  una  nueva  forma  de  aprovechar  una  vieja  debilidad  conocida  del 
TCP/IP.  La  denegacion  de  servicio  puede  ser  de  muchos  tipos.  Lo  normal  es  que  permanezcan  caidos 
mientras  dure  el  ataque  (como  ocurre  con  un  DDoS,  por  ejemplo),  pero  se  han  dado  casos  en  que  se  agotan 
sus  recursos  y  se  necesita  un  reinicio  con  una  minima  cantidad  de  trafico.  Por  si  fuera  poco  dicen  no 
conocer  una  implementation  de  la  pila  que  no  sea  vulnerable.  Se  reabre  con  fuerza  el  debate  sobre  el  uso 
de  protocolos  disenados  hace  decadas  en  la  Internet  de  hoy. 
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_  Las  redes  sociales  estan  de  moda.  Por  ello,  FaceBook  y  Myspace  se  convierten  involuntariamente  en 
grandes  distribuidoras  de  malware.  Los  atacantes  crean  cuentas  falsas  donde  alojan  videos  y  enlaces  a 
malware,  que  envian  a  las  victimas  como  si  se  tratasen  de  amigos  que  quieren  contactar  con  ellos. 

_  En  septiembre,  junto  al  grupo  48bits.com,  Hispasec 
organiza  por  primera  vez  LaCon,  una  serie  de 
conferencias  para  un  grupo  muy  reducido  de  asistentes 
que  alcanzan  un  altisimo  nivel  tecnico.  Durante  las  dos 
jornadas,  ponentes  expertos  de  toda  Esparia  desvelan 
inconfesables  secretos  de  seguridad,  vulnerabilidades, 
ingenieria  reversa  sobre  moviles,  herramientas...  por 
las  mananas  y  las  noches,  aprovechan  para  conocer  las 
playas  y  los  bares  malaguenos. 


_  A  mediados  de  2008,  la  configuration  estandar  de  un  sistema  puede  ser: 

Microprocesador  Intel  Core  2  Duo  con  3  MB  de  cache  L2  por  core,  1.333  Mhz  FSB  (Front  Side  Bus),  y  con 
soporte  hardware  para  virtualizacion. 

-  □  X 

2  GB  de  RAM  DDR2;  Disco  duro  de  320  GB;  Tarjeta  de  sonido  y  red  integrada  en  placa  madre;  Tarjeta 
grafica  Ati  Radeon  HD3850;  Lector  multi-tarjetas;  Regrabadora  de  DVD;  Monitor  TFT  de  19" 

' _ / 


Y  pagar  400  euros  por  ella.  Por  menos  de  200  euros  mas,  se  podria  tener  un  Quad  (cuatro  nucleos).  Por 
unos  30  euros  mas,  4  GB  de  RAM,  por  60  euros  mas  500  GB  de  disco  duro.  Una  grabadora  de  Blue  Ray 
encarece  en  150  euros  el  sistema.  Si  se  quiere  equipar  al  ordenador  con  un  disco  duro  externo  de  750 
GB,  podria  costar  100  euros.  Un  monitor  de  21  pulgadas  solo  cuesta  30  euros  mas.  Tambien  se  pueden 
comprar  sistemas  de  gama  baja,  sin  monitor,  por  250  euros. 

Esta  misma  configuration  en  un  portatil,  llega  a  los  700  euros.  Una  camara  fotografica  digital  de  5 
megapixels  y  con  una  tarjeta  de  2  GB  de  memoria,  que  per  mite  grabacion  ilimitada  de  video,  cuesta 
menos  de  100  euros. 

_  En  octubre,  Sun  Microsystem,  creador  del  Java  Runtime  Environment  (JRE)  promete  que  por  fin 
eliminara  las  versiones  antiguas  del  JRE  que  quedan  en  el  sistema  cuando  se  actualiza.  En 
JRE6  Update  10  se  incluye  una  funcionalidad  (patch-in-place)  que  hace  que  se  elimine  a  si  misma  (pero 
no  al  resto  anterior  versiones  de  JRE  que  puedan  estar  instaladas  en  el  sistema)  cuando  aparece  el  Update 
11. 


_  El  5  de  noviembre  Adobe  publica  (entre  otros  boletines  de  seguridad  para  otros  productos)  una 
actualizacion  para  Adobe  y  Adobe  Reader  8  que  soluciona  varias  vulnerabilidades  que 
permitian  la  ejecucion  de  codigo.  Uno  de  los  fallos  mas  graves  se  da  en  la  funcion  JavaScript  “util.printf”, 
provocado  por  un  error  al  procesar  cadenas  de  formato.  Adobe  es  advertida  del  problema  en  abril  de 
2008.  Foxit  Reader,  otro  popular  lector  de  PDF,  tambien  sufre  una  vulnerabilidad  muy  parecida.  Foxit 
lo  soluciona  un  mes  despues,  en  abril,  mientras  que  Adobe  publica  a  principios  de  noviembre  el  parche. 
Poco  despues  aparece  information  publica  con  los  datos  tecnicos  de  la  vulnerabilidad  y  comienza  a  ser 
aprovechada  por  atacantes  para  instalar  malware. 
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_  Los  investigadores  alemanes  Erik  Tews  y  Martin  Beck  dicen  haber  conseguido  saltarse  parcialmente 
la  seguridadque  proporciona  WPA  (Wi-Fi  Protected  Access)  enlas  redes  inalambricas.  WPAsustituye 
al  inseguro  WEP  (Wired  Equivalent  Privacy),  que  fue  vencido  pocos  anos  despues  de  su  estandarizacion  y 
que  hoy  en  dia  es  un  cifrado  obsoleto.  Este  descubrimiento  induce  a  muchos  a  usar  por  fin  el  WPA2  (WPA 
con  AES,  en  vez  de  con  TRIP).  El  metodo  descubierto  no  permite  recuperar  la  contrasena  y  tampoco  influye 
el  metodo  de  autenticacion.  El  problema  esta  en  el  cifrado.  Aunque  el  ataque  esta  limitado  a  descifrar 
paquetes  concretos  o  inyectar  nuevos  (y  solo  una  pequena  cantidad),  sirve  como  alarma  para  migrar  al 
otro  estandar  mas  seguro. 

El  ataque  solo  funciona  si  se  utiliza  el  cifrado  TRIP,  no  el  AES  y  requiere  de  unos  15  minutos  para  poder 
inyectar  algun  paquete  ARP.  Un  ano  despues  se  publicaria  otro  estudio  basado  en  este  ataque  en  el  que  se 
explica  que  este  tiempo  se  podria  reducir  a  un  minuto. 

_  Microsoft  introduce  en  sus  boletines  un  nuevo  valor  llamado  indice  de  explotabilidad  (exploitability 
index)  que  indica  las  posibilidades  de  que  se  cree  un  exploit  para  cada  vulnerabilidad.  Ademas,  continua 
activando  el  mayor  numero  de  killbits  posibles  para  evitar  ataques  a  traves  de  ActiveX  vulnerables. 

_  La  Fundacion  Mozilla  advierte  que  la  rama  2  de  Firefox  acababa  con  la  version  2.0.0.19.  Esta  serla 
la  filtima  en  la  que  se  solventarian  vulnerabilidades.  Sin  embargo  en  diciembre  se  ve  obligada  a  lanzar 
urgentemente  la  version  2.0.0.20  que  corrige  uno  de  los  fallos  que  se  suponian  solucionados  en  la 
2.0.0.19  para  Windows.  Al  parecer,  durante  el  proceso  de  empaquetamiento  y  firma  de  la  version  para 
Windows,  olvidaron  incluir  una  de  las  correcciones. 

_  Nuestro  companero  Michael  disputa  y  gana  la  final  del  Security  Days  en  su  sexta  edition,  repitiendo 
el  mismo  resultado  que  el  ano  anterior. 

_  La  revista  Re@  Seguridad,  nos  otorga  en  los  Trofeos  de  la  Seguridad  TIC  2008,  el  “Trofeo 
extaordinario  del  Jurado”,  sin  ni  siquiera  habernos  presentado  a  esta  candidatura.  Segun  se  puede 
leer  en  la  nota  de  prensa:  “Tras  un  moderado  debate  sobre  las  propuestas  que  este  ano  han  puesto  sobre 
la  mesa  los  miembros  del  CTA,  para  distinguir  a  la  persona,  entidad  o  colectivo  del  sector  de  la  seguridad 
TIC  por  sus  valores  humanos,  acciones  meritorias  0  labor  extraordinaria  en  pro  del  desarrollo  y  difusion 
de  la  cultura  de  la  Seguridad  TIC,  el  jurado  decidio  homenajear  con  el  “Trofeo  Extraordinario  del  Jurado” 
a  la  empresa  espanola  Hispasec  Sistemas.  La  mention  a  esta  firma,  que  comenzo  su  actividad  profesional 
en  1998,  se  debe  a  su  caracter  de  servicio  publico  y  gratuito  para  la  comunidad  y  su  proposito  de  divulgar 
y  concienciar  a  los  usuarios  de  la  importancia  de  la  seguridad  en  las  TI;  por  su  caracter  pionero  y  su 
extension  a  Latinoamerica.” 

_  Un  dia  antes  del  segundo  martes  del  mes  de  diciembre  un  mensaje  en  un  foro  chino  hace  publica  una 
vulnerabilidad  en  Internet  Explorer  7  para  la  que  no  existe  parche  oficial,  no  necesita  interaction 
por  parte  del  usuario  y  permite,  si  consigue  explotar  el  fallo,  ejecutar  codigo  arbitrario  con  los  permisos 
del  usuario.  Microsoft  lo  soluciona  con  un  boletin  fuera  de  su  ciclo  habitual  diez  dias  despues. 
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17/01/2008  Un  ano  de  Storm  Worm 

El  19  de  enero  de  2008  se  cumple  un  ano  del  primer  ‘avistamiento’  de  Storm  Worm.  Hoy  en  dia  es  una 
de  las  epidemias  mas  extendidas,  y  cumple  un  ano  con  un  indice  aceptable  de  infeccion  que  sin  duda  le 
permitira  permanecer  aferrado  a  los  primeros  puestos  durante  bastante  semanas  mas.  Muchos  lo  llaman 
Storm,  otros  Peacomm  o  Nuwar.  Es  dificil  seguirle  el  juego.  Se  dice  que  el  primer  Storm  Worm  fue  visto 
por  primera  vez  en  Helsinki  el  19  de  enero  de  2007.  Desde  entonces,  se  ha  posicionado  como  una  insistente 
epidemia  de  nuestro  tiempo  y  siempre  ha  resultado  bastante  mediatico. 

Storm  Worm  comenzo  como  un  ejemplo  de  libro  en  cuestion  de  metodos  de  infeccion.  Un  archivo  ejecutable 
adjunto  a  un  correo  que  prometia  un  video  sobre  las  tormentas  que  sufria  Europa  en  aquel  momento. 
Sin  embargo,  una  vez  conseguida  una  base  sustancial  de  victimas  e  infectados,  estos  mismos  sistemas 
troyanizados  comenzaron  una  campana  de  expansion  a  traves  de  spam  que  todavia  inunda  las  casillas  de 
correos. 

Luego  ha  mejorado  con  distintas  campanas.  Cada  cierto  tiempo,  cambia  el  metodo  de  infeccion.  Desde  el 
adjunto  hasta  la  invitacion  a  visitar  paginas  web  que  no  solo  pretendia  que  la  victima  descargase  el  troyano, 
sino  que  intentaba  aprovechar  vulnerabilidades  de  todos  los  navegadores  para  conseguir  la  ejecucion. 
Otro  de  los  puntos  fuertes  de  este  virus  ha  sido  su  capacidad  de  poliformismo  en  servidor.  El  archivo  que 
descargaban  las  victimas  podia  mutar  hasta  varias  veces  por  minuto,  detectandose  literalmente  decenas 
de  pequenas  y  grandes  variaciones  por  dia  alojadas  en  servidores. 

Las  campanas  con  la  que  Storm  ha  enviado  correos  basura  para  incitar  a  la  infeccion  han  sido  de  lo  mas 
variopintas...  desde  invitaciones  a  la  descarga  de  juegos,  pasando  por  premios  de  la  loteria,  cirugia  barata, 
contrasenas  para  portales  especiales...  y,  la  filtima,  invitaciones  de  amor  para  el  dia  de  San  Valentin. 

Hace  tiempo  que  no  se  recordaba  una  epidemia  tan  duradera.  Si  bien  no  se  percibe  igual  que  en  los  tiempos 
del  Klez  (un  ano  en  el  “top  ten”  una  proeza  para  ser  el  ano  2003),  Code  Red,  Nimda,  MyDoom....  Solo 
NetSky,  en  especial  su  variante  NetSky.P,  puede  decirse  que  vaya  a  la  zaga.  Descubierto  en  marzo  de  2004, 
no  es  raro  encontrar  sistemas  infectados  con  esta  variante  todavia. 

Y  no  es  solo  que  Storm  Worm  mute  con  nuevas  versiones,  sino  que  se  ha  convertido  en  un  complejo  sistema 
multi-modular  que  se  sirve  de  cientos  de  servidores  comprometidos  o  no,  una  capacidad  de  mutacion 
endiablada,  y  una  modularidad  que  permite  que  sus  funcionalidades  cambien  continua  y  radicalmente.  Por 
tanto  Storm  Worm  no  se  podria  clasificar  como  un  troyano  sino  como  un  complejo  sistema  perfectamente 
orquestado,  cambiante  y  eficaz.  Muy  al  estilo  malware  2.0. 

Existen  otras  familias,  como  los  Sinowal  o  Zlob,  que  de  forma  mucho  mas  silenciosa,  llevan  tambien 
presentes  en  Internet  desde  hace  muchos  meses,  aunque  no  de  manera  tan  notoria.  De  hecho,  el  ratio  de 
detection  en  VirusTotal  de  este  tipo  de  familia  (Sinowal)  suele  ser  del  25%. 


Sergio  de  los  Santos 
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01/04/2008  Mitos  y  leyendas:  Las  contrasenas  en  Windows  I  (Tipos  de  ataques) 

Vamos  a  escribir  algunos  textos  mas  o  menos  tecnicos  sobre  las  contrasenas  en  Windows.  Existen 
diferentes  mitos  y  leyendas  que  pensamos  no  han  sido  explicados  de  forma  directa  (y  sin  aspavientos)  en 
la  mayoria  de  la  literatura  que  hemos  leido  al  respecto.  Publicaremos  de  sencilla,  una  serie  de  articulos 
aclarando  detalles  que  consideramos  interesantes  sobre  las  contrasenas  locales  en  Windows,  sus  puntos 
fuertes  y  debiles. 

Cuando  nos  presentamos  en  una  maquina  Windows,  la  contrasena  que  proporcionamos  debe  estar 
almacenada  en  algun  lugar  para  que  el  sistema  operativo  la  reconozca  y  bien  nos  deje  pasar,  bien  rechace 
el  acceso.  Almacenar  la  contrasena  y  compararla  sin  mas  con  la  que  proporciona  el  usuario,  seria  una  muy 
mala  politica  de  seguridad.  Cualquiera  con  acceso  al  disco  duro  podria  robar  la  contrasena  en  texto  piano. 
Lo  que  se  almacena  en  realidad  es  el  resultado  de  aplicar  un  algoritmo  a  la  clave  introducida.  Esto  da 
como  resultado  una  “firma”  (o  tradicionalmente  llamado  “hash”),  un  valor  que  en  teoria  solo  es  producido 
por  una  contrasena  en  concreto.  Son  firmas  lo  que  siempre  se  comparara  entre  si,  nunca  contrasenas.  En 
Windows,  ese  hash  se  encuentra  fisicamente  en  el  archivo  de  nombre  SAM  (Security  Account  Manager) 
para  contrasenas  locales  y  en  el  archivo  ntds.dit  del  controlador  de  dominio  para  los  usuarios  que  se 
validan  contra  controladores  de  dominio.  Nos  centraremos  en  las  contrasenas  locales. 

Para  calcular  los  hashes  que  se  almacenan  en  la  SAM,  Windows  XP  y  anteriores  utilizan  por  defecto  dos 
algoritmos  para  cifrar  cada  clave:  LM  (por  compatibilidad  hacia  atras)  y  NTLM,  mas  avanzado  y  estandar. 
Vista  usa  (por  tin)  solo  NTLM  y  no  calcula  ni  almacena  el  inseguro  LM  por  defecto.  Un  atacante  necesitarla 
tener  acceso  a  estos  hashes  (uno,  otro,  o  los  dos)  para  intentar  calcular  a  partir  de  ellos  las  contrasenas  en 
texto  claro  (aplicandoles  fuerza  bruta,  o  metodos  mas  sofisticados  como  las  tablas  rainbow). 

Windows  no  ariade  ‘sal’  a  las  contrasenas 

Uno  de  los  problemas  historicos  del  almacenamiento  de  claves  en  Windows  es  que  no  ‘saltea’  las  contrasenas. 
No  afrade,  como  UNIX  por  ejemplo,  un  trozo  aleatorio  de  caracteres  a  la  hora  de  calcular  el  hash.  Con  esto 
se  evitaria  que  una  misma  contrasena  de  dos  usuarios  distintos,  produjese  una  misma  firma.  Esto  supone 
un  problema  de  seguridad,  porque  si  un  atacante  de  Windows  tiene  acceso  a  estos  hashes  y  dos  son  iguales, 
puede  tener  la  certeza  de  que  esos  dos  usuarios  tienen  la  misma  contrasena,  incluso  si  no  sabe  cual. 

Tipos  de  ataque 

Existen  basicamente  dos  metodos  con  los  que  obtener  estos  hashes.  Uno  es  “offline”  y  tiene  como  barrera 
(evitable)  una  funcionalidad  de  Windows  de  la  que  hablaremos  en  el  futuro.  Otra  es  “online”  y  muestra  los 
hashes  tal  cual. 

Volcado  de  los  hashes  “online” 

Una  forma  de  obtener  los  hashes  de  las  contrasenas  es  conectarse  al  proceso  LSASS  (Local  Security 
Authority  Subsystem)  como  administrador  (0  alguien  con  permisos  equivalentes)  y  volcarlos.  LSASS  es  el 
proceso  que  autoriza  y  maneja  todo  el  tinglado  de  las  contrasenas  introducidas  en  Windows.  Mantiene  una 
copia  en  memoria  de  estas  firmas  contra  las  que  compara  y  valida  para  ofrecer  el  token  de  credenciales 
correspondiente.  Conectarse  a  este  proceso  y  volcar  los  hashes  “en  vivo”  en  memoria  no  es  complicado 
gracias  a  programas  como  pwdump,  que  en  sus  distintas  versiones,  permite  engancharse  al  proceso  y 
mostrar  los  hashes  de  todos  los  usuarios  locales  del  sistema. 

Este  metodo  mostrara  en  claro  el  hash  LM  y  NTLM  con  el  que  Microsoft  compara  todas  las  contrasenas 


Una  al  dia.  Once  anos  de  seguridad  informatica  -  2008  - 


265 


que  le  introducimos  y  ahora  si  se  podra  realizar  un  sencillo  ataque  de  fuerza  bruta  contra  ellos. 

Volcado  de  los  hashes  “offline” 

Si  no  se  tiene  acceso  al  proceso  en  memoria,  bien  porque  el  sistema  este  apagado,  bien  porque  no  se 
disfruten  de  los  permisos  necesarios,  existen  otros  metodos.  Como  hemos  dicho  al  principio,  un  lugar 
especialmente  delicado  en  Windows  (equivalente  al  etc/passwd  de  los  sistemas  basados  en  UNIX)  se  ubica 
en  %systemroot%\system32\config\sam.  En  todo  momento  el  archivo  esta  manejado  y  bloqueado  por  el 
proceso  de  sistema  por  lo  que  no  puede  ser  movido,  copiado  o  accedido  mientras  el  ordenador  este  en 
marcha,  ni  siquiera  por  el  administrador. 

Esto  no  impide  realmente  que  alguien  pueda  hacerse  con  el  archivo.  Existen  muchas  maneras  de  llegar  a 
ese  fichero  sin  pasar  por  Windows.  Arrancar  en  un  sistema  Linux  alojado  en  otra  particion,  0  cualquier 
otra  forma  de  montar  particiones  NTFS...  (Live  Cds,  por  ejemplo).  Otros  metodos  consisten  en  buscar 
otros  archivos  SAM  diseminados  por  el  disco  duro.  Microsoft  guarda  una  copia  de  seguridad  del  archivo 
en  varios  directories,  como  por  ejemplo  en  %systemroot%\repair  cuando  el  sistema  es  instalado.  En  este 
directorio  se  encontrara  un  archivo  SAM  de  menor  peso  que  “el  oficial”  y  con  fecha  de  instalacion  del 
sistema.  Esta  SAM  “de  repuesto”  no  se  modificara  y  contendra  la  primera  contrasena  que  se  le  indico  a 
Windows,  aunque  el  usuario  haya  modificado  la  clave  de  administrador  posteriormente.  Este  archivo  no 
esta  tornado  por  ningun  proceso,  se  puede  leer  por  cualquiera,  por  tanto  es  necesario  vigilar  especialmente 
los  permisos  NTFS  para  controlar  su  acceso. 

Tambien  puede  existir  una  copia  de  la  SAM  en  %systemroot%\winnt\system32\config\sam.bak,  que 
tampoco  se  encuentra  bloqueada  por  ningun  proceso.  Por  ultimo,  si  el  administrador  ha  realizado  copias 
de  seguridad,  es  posible  encontrar  comprimido  un  %systemroot%\windows\repair\sam._  que  se  puede 
expandir  con  el  comando  de  Microsoft  “expand”. 

Una  vez  que  se  ha  tenido  acceso  al  archivo  en  cuestion,  sea  con  el  metodo  que  sea,  se  puede  “volcar”  su 
interior  con  herramientas  como  samdump,  disponible  de  forma  gratuita  desde  hace  anos.  En  teoria,  al 
volcar  este  archivo  deberiamos  obtener  los  hashes  LM  y  NTLM  de  las  contrasenas.  Pero  esto  no  es  asi.  A 
partir  de  Windows  2000,  Microsoft  utiliza  por  defecto  el  sistema  adicional  de  cifrado  Syskey.  Samdump 
volcar  a  una  version  a  su  vez  cifrada  de  los  verdaderos  algoritmos  de  cifrado  de  Microsoft  LM  y  NTLM. 
Con  Syskey  como  medida  adicional  de  seguridad  sobre  el  sistema  que  almacena  las  contrasenas,  Microsoft 
introdujo  una  capa  mas  de  seguridad,  un  cifrado  de  la  SAM  que  dificulta  (no  demasiado  si  no  se  utiliza 
bien)  los  ataques  “offline”  de  fuerza  bruta  o  diccionario  sobre  este  archivo.  Syskey  estaba  destinado  a 
evitar  estos  ataques  (pues  cifra  sobre  cifrado)  pero  en  la  practica,  ni  Syskey  ni  los  cifrados  LM/NTLM  han 
aportado  realmente  seguridad  adicional.  Se  sigue  dependiendo  de  la  fortaleza  de  la  contrasena  que  elija 
el  usuario. 

?Por  que  el  Syskey  no  suele  aportar  realmente  seguridad?  ?.C6mo  funcionan  realmente  los  hashes  LM/ 
NTLM?  Lo  estudiaremos  en  profundidad  en  un  proximo  articulo. 


Sergio  de  los  Santos 


23/04/2008  (?.PayPal  bloqueara  a  los  navegadores  “inseguros”? 

Se  ha  escrito  mucho  sobre  esta  medida  decidida  por  PayPal,  sin  duda,  un  peso  pesado  en  Internet  y  cuyos 
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movimientos  se  siguen  con  lupa.  Como  suele  ocurrir  en  estos  casos,  la  noticia  ha  sido  en  parte  confundida 
y  al  parecer  la  mayorla  de  los  medios  no  han  sabido  transmitir  realmente  la  idea  de  PayPal.  Como  de 
costumbre,  los  medios  generalistas  han  terminado  aprovechando  para  senalar  con  el  dedo  a  los  de  siempre, 
con  el  mensaje  de  siempre,  y  olvidando  realmente  cual  es  el  objetivo  de  la  compania. 

PayPal  es  el  sistema  de  pago  lider  en  Internet.  Permite  ingresar  o  recibir  dinero  en  cuentas  particulares 
o  ajenas  con  solo  conocer  la  direction  de  correo  de  un  usuario  de  PayPal.  PayPal  es  la  compania,  junto 
con  eBay,  que  mas  ataques  phishing  sufre  cada  dia.  Las  contrasenas  robadas  de  usuarios  se  cuentan  por 
decenas  cada  hora.  Como  medida  para  paliar  este  problema,  la  compania  ha  anunciado  que  bloqueara  a  los 
‘navegadores  inseguros’  y  aqui  parece  que  comienza  la  confusion.  Es  importante  destacar  que  la  medida 
de  PayPal  esta  destinada  a  paliar  el  phishing,  y  sus  ‘navegadores  inseguros’  se  mueven  exclusivamente  en 
este  contexto  del  fraude  online,  y  no  en  ningun  otro  donde  tengan  que  ver  los  problemas  de  seguridad  o 
las  vulnerabilidades. 

?Que  es  entonces  un  navegador  inseguro  para  PayPal?  La  respuesta  no  tiene  nada  que  ver  con 
vulnerabilidades,  problemas  de  seguridad  o  nada  parecido,  aunque  muchos  han  querido  llevar  la  noticia  a 
este  campo.  Por  un  lado,  PayPal  considera  inseguros  a  los  navegadores  antiguos  que  han  dejado  de  tener 
soporte  y  que  no  incorporan  tecnologia  antiphishing  (desarrollada  en  los  ultimos  anos).  Como  simple 
ejemplo,  menciona  que  todavia  es  visitada  por  usuarios  que  utilizan  Internet  Explorer  4,  y  que  a  estos  no 
les  permitira  el  acceso.  Navegar  con  Internet  Explorer  4  0  cualquier  otro  navegador  que  no  recibe  soporte 
ni  actualizaciones  de  seguridad  desde  hace  anos  es  un  completo  suicido  tecnologico  para  el  sistema  que 
lo  utilice.  Probablemente,  que  un  usuario  de  IE  4  pique  en  un  phishing  de  PayPal  0  no,  es  el  menor  de  sus 
problemas. 

PayPal  utiliza  una  analogia  para  explicar  lo  que  pretende:  “Dejar  que  los  usuarios  de  estos  navegadores 
visiten  la  pagina  de  PayPal  es  como  permitir  a  una  factoria  de  coches  que  los  fabrique  sin  cinturon  de 
seguridad”.  Al  parecer  PayPal  avisara  durante  un  tiempo  a  sus  visitantes  si  detectan  estos  navegadores,  y 
luego  los  bloqueara. 

?Que  otro  parametro  utiliza  PayPal  para  calificar  de  inseguro  a  navegador?  Pues  que  no  utilice  la 
tecnologia  Extended  Validation  SSL.  PayPal  ha  invertido  en  estos  nuevos  certificados  SSL  (que  no  son 
baratos)  y  obviamente  quiere  sacarles  provecho.  Extended  Validation  SSL  es  una  buena  idea.  Explicado 
de  forma  sencilla,  los  certificados  que  cumplan  el  Extended  Validation  SSL  autentican  al  servidor  (como 
los  certificados  tradicionales),  pero  a  efectos  practicos  permiten  que  el  navegador  que  visita  la  pagina  que 
tiene  estos  certificados,  muestre  de  forma  mucho  mas  clara  que  la  pagina  es  efectivamente  la  que  se  quiere 
visitar.  Seria  como  si  el  navegador  hiciera  por  nosotros  la  operation  de  pulsar  sobre  el  candado  cuando  nos 
conectamos  por  SSL  a  una  pagina,  y  verificara  la  ruta  de  certification,  el  domino  valido...  todo  de  forma 
automatica  y  visual.  Si  el  servidor  es  seguro,  se  muestra  en  la  barra  de  direcciones  un  color  verde.  Un 
usuario  puede  asi  de  un  solo  vistazo  dar  por  seguro  que  el  servidor  al  que  se  esta  conectando  es  el  correcto, 
y  que  no  se  esta  usando  un  certificado  valido,  pero  falso. 

Por  ahora,  solo  Internet  Explorer  7  soporta  de  serie  la  correcta  interpretation  de  certificados  EV  SSL. 
Firefox  2  necesita  un  plugin  y  Opera  ha  dicho  que  lo  implementara.  Safari  no  se  ha  pronunciado.  Quizas, 
con  el  tiempo,  PayPal  obligue  a  los  usuarios  a  utilizar  un  navegador  que  soporte  EV  SSL,  pero  para  entonces 
(dentro  de  anos)  probablemente  sea  algo  que  todos  los  programas  implementen  de  serie. 

La  noticia  por  tanto,  no  es  tan  catastrofica,  aunque  si  marcara  tendencias.  Lo  que  todavia  no  se  sabe 
realmente,  es  si  esta  medida  ayudara  a  paliar  el  phishing  que  sufre  PayPal.  A  tenor  del  exito  del  que  todavia 
goza  el  phishing  tradicional,  los  usuarios  han  demostrado  que  no  se  fijan  realmente  en  los  dominios,  ni  en 
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la  autenticacion  SSL  a  la  hora  de  introducir  sus  credenciales  en  cualquier  pagina  que  se  lo  solicite. 


Sergio  de  los  Santos 


16/05/2008  Preguntas  frecuentes  sobre  el  problema  critptografico  de  Debian 

El  problema  encontrado  en  OpenSSL  de  Debian  puede  ser  considerado,  lamentablemente,  un  verdadero 
acontecimiento  criptografico.  La  criptografia  es  una  ciencia  compleja,  y  con  el  animo  de  aclarar  las  graves 
y  extensas  consecuencias  del  fallo,  hemos  redactado  una  serie  de  preguntas  frecuentas  para  intentar,  aun 
tratandose  de  un  tema  tan  complejo,  arrojar  algo  de  luz. 

cQue  ha  pasado  exactamente? 

Alguien  (por  error)  del  equipo  de  Debian  elimino  una  linea  de  codigo  en  el  paquete  OpenSSL  de  Debian  que 
ayudaba  a  generar  la  entropia  al  calcular  el  par  de  claves  publica  y  privada.  Las  claves  solo  se  calculaban 
tomando  como  semilla  el  PID  del  proceso.  Al  estar  limitado  a  32.768  semillas  (tantos  como  PIDs  de 
proceso  son  posibles)  para  la  generation  de  numeros  seudoaleatorios,  el  numero  de  claves  posibles  es 
pequeno.  Se  han  estado  generando  las  mismas  claves  dentro  de  este  numero  limitado  de  posibilidades 
desde  septiembre  de  2006.  Como  son  pocas  y  de  entropia  pobre,  se  puede  deducir  la  clave  privada  a  partir 
de  la  publica  porque  el  espacio  de  primos  es  muy  pequeno  y  esta  precalculado.  Ya  se  han  generado  listas 
disponibles  para  todos  con  la  clave  publica  (del  espacio  a  que  han  quedado  limitado  despues  del  fallo)  y  su 
correspondiente  privada.  Para  los  usuarios  de  este  OpenSSL  de  Debian  sin  entropia  suficiente,  se  han  roto 
las  reglas  de  la  criptografia  asimetrica  en  la  que  por  ahora  confiamos  todos  y  que  sustentan  las  bases  de  la 
(poca)  seguridad  y  confianza  que  pueda  existir  en  Internet. 

<LEs  tan  grave  como  parece? 

Es  mas  grave.  Mucho  mas  grave.  Podriamos  considerar  que  la  criptografia  de  Debian  en  los  ultimos  dos 
anos  ha  sido  una  pantomima.  Y  es  grave  ademas  porque  no  se  resuelve  por  completo  parcheando.  Esa 
no  es  la  solution  definitiva.  Hay  que  regenerar  claves,  revocar  las  antiguas,  certificarlas  en  el  caso  de 
SSL,  comprobar  donde  fueron  a  parar  claves  generadas  con  Debian...  No  es  un  bug  en  un  programa  que 
eventualmente  quedara  obsoleto  porque  todo  el  mundo  estara  parcheado.  Habra  administradores  que 
no  comprueben  la  debilidad  sus  claves,  servidores  SSL  que  jamas  certifiquen  de  nuevo  sus  claves,  claves 
perdidas  de  usuarios  que  dejen  la  puerta  abierta  a  servidores  SSH...  Tambien  es  grave  porque  arrastra  a 
decenas  de  programas  y  sistemas  que  se  valen  de  claves  generadas  con  OpenSSL.  SSL,  SSH,  OpenVPN, 
DNSSEC...  Alguien  lo  ha  calificado  de  “apocalipsis  criptografico”.  Ademas  los  principales  perjudicados  son 
los  servidores  que  precisamente  hayan  buscado  mas  seguridad  con  la  criptografia  de  clave  publica,  porque 
contenian  information  critica. 

El  SANS  Internet  Storm  Center  ha  elevado  el  nivel  de  alerta  general  a  ‘amarillo’.  No  ocurre  a  menudo. 
cComo  ha  podido  ocurrir? 

Ha  sido  todo  un  desafortunado  error.  Aunque  surgiran  las  teorias  conspiratorias  porque  el  codigo  abierto 
ha  estado  ahi  durante  dos  anos,  no  ha  sido  hasta  que  Luciano  Bello  se  ha  dado  cuenta  que  se  ha  corregido 
el  fallo  y  se  ha  dado  la  voz  de  alarma.  Pero  el  dano  ya  esta  hecho.  Dos  anos  de  claves  debiles  generandose 
en  cientos  de  miles  de  sistemas.  Ha  pasado  desapercibido  porque  en  general  cualquier  programa  es 


268 


Una  al  dia.  Once  anos  de  seguridad  informatica  -  2008  - 


complejo,  pero  la  criptografia  lo  es  aun  mas.  Ademas,  Bruce  Schneier  dijo  algo  as!  como  ‘Good  security 
looks  the  same  as  bad  security’  (‘La  buena  seguridad  se  ve  igual  que  la  mala’,  frase  aplicable  aun  mas  a  la 
criptografia). 

Kurt  Roeckx  fue  quien  planted  en  un  principio  borrar  lineas  que  consideraba  problematicas.  Existe  un 
correo  de  2006  en  una  lista  publica,  en  el  que  Roeckx  plantea  en  una  lista  de  OpenSSL  que  pasaria  si  las 
eliminara.  Pregunta  si  resultaria  en  una  posible  perdida  de  aleatoriedad.  La  respuesta  no  oficial  desde 
OpenSSL  es  que  “no  mucho”  y  que  es  partidario  de  borrarlas  si  ayuda  en  la  depuration.  Y  era  cierto, 
esas  lineas  no  suponian  problema:  el  problema  es  que  en  Debian  se  borraron  mas  lineas  de  la  cuenta, 
de  las  habladas  en  la  conversation  y  para  colmo  los  cambios  no  se  enviaron  a  OpenSSL  para  que  fueran 
revisados. 

iSe  soluciona  parcheando? 

No.  No  se  trata  de  un  fallo  de  seguridad  al  uso.  Ha  existido  una  fuente  de  claves  inseguras  que  se  han 
esparcido  durante  dos  anos.  Hay  que  comprobar  y  regenerar  claves.  El  fallo  fue  anunciado  a  la  vez  que  el 
parche,  pero  hay  que  tener  en  cuenta,  que  las  primeras  versiones  de  los  parches  para  Debian  y  Ubuntu 
contenian  regresiones.  Han  publicado  nuevas  actualizaciones  para  los  propios  parches  que  es  necesario 
aplicar  tambien. 

£Que  pasa  si  tengo  un  servidor  web  con  acceso  por  HTTPS? 

Si  las  claves  han  sido  generadas  con  la  version  de  OpenSSL  con  el  problema,  las  consecuencias  son  que 
alguien  se  puede  hacer  pasar  por  el  servidor  porque  tendra  la  privada  de  forma  instantanea  a  partir  de 
la  publica.  Ademas,  cualquiera  que  haya  tenido  acceso  a  una  conversation  cifrada  con  el  servidor,  podria 
tambien  descifrarla.  Esto  es  asi  porque  la  clave  simetrica  que  se  utiliza  para  el  cifrado  ha  sido  intercambiada 
con  la  ayuda  de  claves  asimetricas  debiles.  Un  administrador  debe  ademas  revocar  la  clave,  generar  una 
nueva,  enviarla  a  la  Autoridad  Certificadora  (que  cobra  por  certificar)  e  instalarla.  La  catastrofe  hubiese 
sito  total,  si  una  Autoridad  Certficadora,  hubiese  generado  claves  y  firmado  certificados  con  estas  claves 
debiles,  pues  el  problema  se  extenderia  hacia  abajo  a  todos  sus  clientes,  en  cuyos  certificados  ya  no  se 
podria  confiar.  Al  parecer  han  comprobado  que  las  principales  Autoridades  no  se  ven  afectadas. 

iQue  pasa  con  SSH? 

Los  administradores  que  controlan  sus  sistemas  a  traves  de  SSH  se  suelen  autenticar  a  traves  de  su  clave 
privada  y  el  servidor  de  SSH  almacena  la  publica  correspondiente.  Esto  es  mas  seguro  que  usar  una  sola 
contrasena  simetrica  para  autenticarse.  El  servidor  cifra  una  cadena  con  la  clave  publica  del  que  pretende 
autenticarse  y  se  la  envia,  si  puede  descifrarla  le  deja  pasar.  En  este  caso  puede  que  la  clave  publica  sea 
realmente  publica  o  no.  En  el  primer  caso,  deducir  la  privada  es  instantaneo,  y  en  el  segundo  caso,  si  no  se 
conoce  la  publica,  se  debe  hacer  un  ataque  de  fuerza  bruta  sobre  un  espacio  de  claves  muy  pequeno,  algo 
que  tarda  unos  20  minutos  con  un  ordenador  de  hoy  dia.  Se  ha  creado  un  exploit  para  esto. 

Todos  los  administradores  que  permitan  a  sus  usuarios  utilizar  la  clave  privada  para  acceder  a  sus 
sistemas  a  traves  de  SSH,  deben  auditar  las  claves  para  saber  si  son  de  las  “debiles”.  Los  administradores 
de  SSH  tambien  se  encuentran  ante  una  tarea  concienzuda,  peligrosa,  (y  que  deben  emprender  ya)  incluso 
si  no  utilizan  Debian,  porque  puede  que  sus  claves  hayan  sido  generadas  en  una  distribution  Debian  y 
exportadas. 

Los  administradores  de  SSH  comprobaran,  con  total  seguridad,  como  los  intentos  de  acceso  ilegitimo  se 
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multiplican  en  estos  dias. 

<LA  Windows  le  paso  lo  mismo? 

No.  Se  demostro  que  el  generador  de  numeros  aleatorios  de  Windows  era  debil,  pero  la  diferencia  es  que 
segun  el  estudio,  habia  que  conocer  el  estado  previo  del  generador  para  saber  el  siguiente  calculo.  Esto 
podria  permitir  descifrar  conversaciones  SSL  entre  dos  sistemas.  Pero  para  poder  llegar  a  tener  acceso  a 
esa  informacion  inicial  de  la  que  se  deducirian  el  resto  de  “estados  del  algoritmo”,  un  atacante  necesitaria 
poder  tener  acceso  como  administrador  en  el  sistema.  Digamos  que  para  poder  aprovechar  el  problema 
del  algoritmo  y  poder  descifrar  la  informacion,  necesitaria  tener  el  total  control  de  la  maquina  para  llegar 
a  conocer  un  estado,  con  lo  que  el  sistema  ya  estaria  comprometido  en  si. 

Conclusiones 

Lo  peor  no  esta  ocurriendo  ahora.  Lo  verdaderamente  grave  ha  podido  ocurrir  antes  (en  los  ultimos  dos 
anos  si  alguien  ha  conocido  este  error  y  lo  hubiese  mantenido  en  secreto)  y  despues  (lo  que  nos  espera  a 
medida  que  se  vaya  descubriendo  que  sistemas  importantes  ha  generado  claves  debiles). 

Sergio  de  los  Santos 


20/05/2008  “Hoy  goodware,  manana  no  se” 

Habian  transcurrido  solo  6  horas  desde  que  el  responsable  de  seguridad  de  la  multinacional  habia  enviado 
al  laboratorio  un  ejecutable  para  su  analisis.  Lo  habia  encontrado  en  el  portatil  de  un  alto  ejecutivo, 
durante  una  auditoria  rutinaria.  Desconocia  el  origen  de  aquel  binario,  no  sabia  lo  que  hacia.  Cuando 
menos  le  resultaba  sospechoso,  la  fecha  de  instalacion  coincidia  con  una  salida  del  ejecutivo  al  extranjero 
donde,  segun  los  logs  del  sistema,  habia  estado  conectandose  a  Internet  a  traves  de  al  menos  dos  hotspots 
publicos.  “iMaldito  WiFi!”.  Cuando  recibio  la  llamada  del  laboratorio  se  apresuro  a  preguntar  “fmalware 
o  goodware?”.  La  respuesta  al  otro  lado  del  telefono  lo  dejo  algo  desconcertado:  “Hoy  goodware,  manana 
no  se”. 

Y  es  que  cualquiera  que  acuda  a  que  le  realicen  un  analisis  de  un  binario  espera  un  dictamen  claro.  O 
bien  se  trata  de  algun  tipo  de  malware  (virus,  troyano,  spyware,  adware,  etc.)  que  lleva  a  cabo  acciones  no 
deseadas  en  el  sistema,  o  bien  es  goodware  y  por  tanto  no  debemos  temer  de  que  realice  ninguna  trastada. 
Al  fin  y  al  cabo,  un  profesional  puede  realizar  un  analisis  en  profundidad  del  codigo  mediante  ingenieria 
inversa  y  saber  exactamente  como  funciona  y  que  es  lo  que  hace.  tO  no? 

Tradicionalmente  asi  solia  ser.  Un  virus  podia  utilizar  mas  o  menos  capas  de  ofuscacion  y  cifrado,  tener  mas 
o  menos  tecnicas  anti-debugging,  podia  ser  mas  o  menos  complicado  su  analisis,  pero  al  final,  uno  podia 
conocer  al  detalle  como  se  comportaba.  El  virus  era  autonomo,  todo  su  universo  estaba  autocontenido  en  su 
propio  codigo.  Eran  otros  tiempos,  cuando  los  hombres  eran  hombres  y  se  programaba  en  ensamblador. 

Pero  llego  Internet  y  lo  cambio  todo.  Y  no  hablamos  de  la  distribution  masiva  ni  de  los  gusanos  por 
Internet,  ni  de  la  explotacion  de  vulnerabilidades  mientras  navegamos  para  infectar  equipos  de  forma 
transparente,  ni  de  la  production  masiva  de  troyanos,  ni  siquiera  del  polimorfismo  en  origen  a  la  hora 
de  distribuir  el  malware,  ni  de  las  posibilidades  de  actualization  y  descarga  de  nuevas  variantes,  ni  las 
botnets,  etc.  Las  reglas  han  cambiado,  y  recien  comenzamos  a  sufrir  sus  consecuencias. 
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?Que  ocurre  cuando  no  existe  codigo  malicioso  en  el  binario?  ?Que  ocurre  si  tras  un  analisis  al  detalle 
de  la  muestra  todo  parece  indicar  que  es  goodware,  o  al  menos  hay  ausencia  de  indicios  que  apunten  a 
que  es  malware?  Pues  ocurre  que  puede  ser  goodware,  o  no.  La  clave  esta  en  que  la  logica  del  malware,  la 
inteligencia,  se  esta  trasladando  a  la  parte  servidor,  alii  donde  queda  fuera  del  alcance  de  nuestro  analisis. 
iComo?. 

Imaginemos  que  un  espia  profesional  es  contratado  para  atacar  a  un  objetivo  concreto.  En  vez  de  disenar 
un  malware  tradicional,  desarrolla  una  utilidad  que,  ademas  de  realizar  su  cometido,  se  conecta  a  Internet 
regularmente  para  comprobar  si  hay  actualizaciones  o  para  llevar  a  cabo  cualquier  otra  action  comun 
hoy  dia  en  el  software.  Una  vez  terminada  la  cuelga  de  Internet  y,  ademas,  la  envia  a  los  laboratories 
antivirus  para  su  analisis.  Esa  muestra  es  analizada  por  los  laboratories  y  catalogada  como  goodware  en 
su  coleccion  de  binarios.  Si  algun  dia  alguien  envia  de  nuevo  esa  muestra,  en  sus  registros  ya  se  encuentra 
analizada  y  catalogada  como  goodware.  Logico,  bastante  tienen  analizando  todo  lo  que  se  produce  nuevo 
como  para  estar  reanalizando  muestras. 

La  utilidad  es  publica,  ha  sido  analizada  por  los  laboratorios  antivirus  y  se  ha  catalogado  como  limpia, 
de  hecho  no  contiene  ningun  codigo  malicioso  oculto,  ademas  se  la  instalan  indiscriminadamente  los 
usuarios  y  tienen  una  buena  experiencia  (hace  lo  previsible).  La  utilidad  se  conecta  regularmente  a  un 
servidor  (del  espia)  en  Internet  para  comprobar  si  debe  autoactualizarse,  descargando  algun  parche  o 
nueva  version  en  caso  necesario.  Todo  normal. 

Pero  hay  un  codigo  que  no  sabemos  que  hace,  el  del  servidor  controlado  por  el  espia  en  Internet.  Alii  tiene 
un  script  que  recibe  las  consultas  de  la  utilidad  preguntando  si  hay  alguna  actualization,  y  una  logica  que 
todo  el  mundo  desconoce.  El  servidor  devolvera  o  no  un  aviso  de  que  hay  una  nueva  actualization  legitima 
pero,  ademas,  comprueba  si  la  IP  del  sistema  que  esta  realizando  la  consulta  pertenece  al  rango  de  la 
empresa  objetivo;  entonces,  solo  entonces  y  en  ese  equipo  concreto,  descargara  y  ejecutara  un  codigo  para 
robar  information  sensible. 

Vale,  bonita  historia  de  espias.  El  problema  es  que  lejos  de  ser  una  historia  es  un  enfoque  que  va  en 
aumento  en  el  malware  actual,  y  es  posible  que  solo  estemos  viendo  la  punta  del  iceberg. 

Por  ejemplo,  en  Hispasec  estamos  especializados  en  la  detection  y  analisis  de  troyanos  bancarios. 
Comienza  a  ser  preocupante  la  aparicion  de  familias  que  no  son  catalogadas  como  “bankers”  por  los 
antivirus,  porque  realmente  no  contienen  codigo  que  pudiera  hacer  pensar  que  lo  son.  En  todo  caso  son 
catalogadas  como  spyware,  menos  peligrosas,  ya  que  su  funcion  consiste  en  enviar  las  URLs  por  las  que 
navegamos  a  un  servidor  de  Internet.  La  “gratia”  esta  en  que  ese  servidor  solo  devuelve  un  nuevo  codigo 
malicioso,  o  comandos  interpretables  por  el  propio  malware,  cuando  la  URL  que  envia  al  servidor  coincide 
con  la  direction  de  la  web  de  una  entidad  bancaria  determinada. 

Estamos  en  un  caso  similar  al  del  espia  profesional,  el  analisis  aislado  del  codigo  que  se  instala  en  el 
cliente  no  puede  dar  pistas  sobre  la  funcionalidad  que  puede  adoptar  ese  binario.  Un  evento  en  concreto, 
en  este  caso  visitar  una  URL  determinada,  es  la  que  hace  activar  la  logica  del  servidor  web  que  devuelve 
un  nuevo  codigo  o  instrucciones  desconocidas  hasta  ese  momento.  Una  logica  que  puede  o  no  estar  activa 
en  el  momento  en  que  se  analiza  la  muestra,  o  incluso  que  puede  tener  mas  dependencias  para  activarse 
de  forma  que  previene  la  detection  de  un  analisis  puntual. 

Este  traslado  de  la  inteligencia  del  malware  a  la  parte  servidor  supone  nuevos  retos  y  la  necesidad  de  nuevos 
enfoques.  En  un  momento  en  que  tambien  parte  de  la  inteligencia  de  los  antivirus  se  esta  externalizando 
en  servicios  en  Internet,  vemos  que  sigue  siendo  mas  importante  que  nunca  tener  inteligencia  local,  mas 
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alia  de  las  firmas  de  detection,  que  pueda  identificar  actividades  sospechosas  en  nuestros  sistemas.  Y  es 
que,  al  fin  y  al  cabo,  no  hay  balas  de  plata  en  esto  de  la  seguridad,  debemos  seguir  combinando  diferentes 
capas  complementarias  de  protection  e  ir  evolucionando  con  los  tiempos.  Tenemos  “diversion”  para  rato. 

Bernardo  Quintero 


27/05/2008  Virus  y  promiscuidad.  Del  disquete  al  USB 

A  finales  de  la  decada  de  los  80  se  empezaron  a  popularizar  los  virus  del  sector  de  arranque,  que  tenian 
la  particularidad  de  que  se  propagaban  a  traves  de  disquetes.  Si  introducias  un  disquete  en  un  ordenador 
infectado  el  virus  se  copiaba  al  disquete,  y  a  su  vez  ese  disquete  podia  infectar  cualquier  otro  ordenador 
donde  fuera  utilizado.  A  dia  de  hoy  vivimos  una  plaga  del  mismo  perro  con  otro  collar,  al  menos  en  la  parte 
funcional.  Con  el  disquete  en  desuso,  las  memorias  USB  han  tornado  el  relevo  como  portadoras  de  una 
nueva  generation  de  malware  que  aprovechan  la  “promiscuidad”  con  la  que  utilizamos  el  dispositivo. 

cCual  es  el  dispositivo  que  mas  utilizas  en  ordenadores  de  terceros?  Para  muchos  sera  la  memoria  USB,  esa 
tan  socorrida,  que  no  dudamos  en  introducirla  en  cualquier  ordenador.  Para  intercambiar  documentos, 
para  ensenar  las  ultimas  fotos,  para  llevarnos  trabajo  a  casa,  para  que  nos  hagan  una  copia  de  ese  programa, 
para  una  presentation,  para  pasarnos  unos  MP3,... 

Tanto  entrar  y  salir  entre  ordenadores  diferentes  no  ha  pasado  desapercibido  para  los  creadores  de 
malware,  que  han  visto  en  este  dispositivo  el  transporte  ideal  para  que  sus  bichos  puedan  saltar  de  un 
ordenador  a  otro.  En  un  tiempo  en  el  que,  practicamente,  todo  ordenador  tiene  conexion  a  Internet,  y 
por  tanto  las  distancias  fisicas  son  virtualmente  inexistentes,  esta  nueva  corriente  nos  traslada  de  nuevo 
a  las  infecciones  de  principios  de  los  90,  basadas  en  la  proximidad  y  la  comparticion  de  dispositivos  de 
almacenamiento. 

Una  de  las  familias  mas  representativas  de  esta  nueva  epidemia  es  denominada  por  los  antivirus  como 
“AutoRun”,  con  el  prefijo  de  “Win32”  y/o  “Worm”.  Como  dato  concreto,  en  VirusTotal  se  han  recibido  7.742 
variantes  diferentes  de  esta  familia  (segun  MD5),  solo  en  lo  que  llevarnos  de  mes  de  mayo. 

El  diseno  de  estos  especimenes,  que  deberiamos  catalogar  como  “gusanos”  en  vez  de  “virus”  puesto  que  se 
reproducen  con  copias  de  si  mismos  pero  no  pueden  infectar  a  otros  ficheros,  es  realmente  simple.  Toda 
la  logica  se  basa  en  aprovechar  la  funcionalidad  AutoRun  de  Windows  que  automaticamente  interpreta  y 
ejecuta  el  archivo  autorun.inf  si  se  lo  encuentra  en  el  raiz  de  un  medio  removible,  como  un  CD,  DVD  u  otro 
tipo  de  memorias,  incluyendo  USB. 

Los  creadores  de  malware  estan  aprovechando  esta  funcionalidad  por  defecto  de  Windows  Explorer.  Basta 
con  introducir  una  memoria  USB  en  un  sistema  para  que  automaticamente  se  ejecute  el  autorunf.inf  que, 
tipicamente,  han  disenado  para  que  lance  a  su  vez  un  ejecutable  con  el  codigo  del  gusano.  El  gusano  se 
instala  en  el  sistema  e  intenta  copiar  la  pareja  de  ficheros,  autorun.inf  y  ejecutable  del  gusano,  en  todas 
las  unidades  existentes.  Esta  forma  de  expandirse  un  tanto  indiscriminada  abarca  la  infection  de  discos 
duros,  unidades  de  red,  dispositivos  removibles,  etc,  por  lo  que  este  tipo  de  gusanos  se  pueden  encontrar 
mas  alia  de  en  las  propias  memorias  USB. 

Las  buenas  noticias  son  que  hay  formas  de  intentar  mitigar  este  tipo  de  gusanos  configurando  Windows 
para  evitar  el  AutoRun  automatico,  por  ejemplo  a  traves  de  la  entrada  del  registro  NoDriveTypeAutoRun. 
Sin  embargo  se  ha  detectado  que  la  configuration  de  ese  valor  no  es  suficiente  en  Windows  Vista  para 
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prevenir  la  ejecucion,  debido  a  AutoPlay,  otra  funcionalidad  por  defecto. 

Otro  metodo  mas  efectivo  consiste  en  “trucar”  Windows  para  que  haga  caso  omiso  de  los  archivos  autorun. 
inf,  indicandole  que  en  vez  de  interpretar  los  comandos  que  incluya  en  su  interior  utilice  unos  valores 
alternatives,  en  concrete  unos  valores  no  existentes.  Por  lo  que  Windows  no  ejecutara  nada. 

Para  ello  se  debe  configurar  una  entrada  en  el  registro  de  Windows.  La  forma  mas  simple  es  copiar  las 
siguientes  lineas  en  el  bloc  de  notas  y  guardarlas  con  la  extension  .REG,  por  ejemplo  noautorun.reg. 

REGEDIT4 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\IniFileMapping\ 

Autorun.inf] 

@=”@SYS:DoesNotExist” 

A  continuation  hacer  doble  click  en  el  fichero  noautorun.reg,  Windows  nos  preguntara  si  estamos  seguros 
de  querer  agregar  esta  information  al  registro,  y  elegiremos  que  Si. 

Recordar  que  con  esta  modification  tambien  evitaremos  la  ejecucion  de  los  autorun.inf  legitimos,  por 
ejemplo  esos  que  hacen  que  al  introducir  un  CD  o  DVD  automaticamente  se  ejecute  un  programa.  En 
esos  casos  tendremos  que  hacer  doble  click  en  el  programa  para  ejecutarlos.  Si  bien  pensamos  que  esta 
“pequena  molestia”  compensa  si  con  ello  evitamos  la  infection  de  nuestros  sistemas. 

Bernardo  Quintero 


22/07/2008  Descubiertos  los  detalles  de  la  vulnerabilidad  en  el  protocolo  DNS 

Desde  el  8  de  julio  se  esta  produciendo  uno  de  los  episodios  mas  curiosos  vividos  nunca  en  la  red.  Se 
publico  ese  dia  una  actualization  masiva  para  la  mayoria  de  los  dispositivos  en  Internet  que  utilizan  DNS. 
Se  dijo  que  habia  sido  descubierta  una  vulnerabilidad  que  permitia  falsificar  las  respuestas  DNS,  y  por 
tanto  redireccionar  el  trafico.  Casi  todos  los  grandes  y  pequenos  fabricantes  y  programadores  actualizaron 
sus  sistemas  y  se  intento  mantener  los  detalles  tecnicos  de  la  vulnerabilidad  ocultos,  por  la  gravedad  y  el 
potential  impacto  que  podria  suponer.  Finalmente,  dos  semanas  despues,  se  conocen  los  detalles. 

Toda  vulnerabilidad  es  importante  y  tiene  un  potencial  impacto  en  la  red.  Sin  embargo,  cuando  hablamos 
de  la  resolution  de  nombres  y  de  problemas  en  los  servidores  DNS,  la  gravedad  se  multiplica  porque  se 
supone  que  los  servidores  DNS  sustentan  la  red.  Dan  Kaminsky  habia  descubierto  un  fallo  de  base  en  el 
protocolo  que  permitia  a  cualquiera  falsificar  las  respuestas  de  un  servidor.  No  era  problema  de  ningun 
fabricante  sino  de  casi  todos,  un  fallo  de  diseno  de  un  estandar  usado  en  todo  Internet.  En  un  importante 
esfuerzo  de  coordination  todos  los  grandes  fabricantes  estan  publicado  sus  actualizaciones  desde  el  dia  8 
de  julio. 

Pero  Dan  Kaminsky  no  daba  detalles  sobre  el  asunto.  Era  demasiado  grave  ypensaba  que  seria  irresponsable 
proporcionar  esa  information  sin  dar  suficiente  tiempo  a  todos  los  administradores  para  actualizar.  Del 
parche  no  se  podia  deducir  el  problema  puesto  que  simplemente  anadia  aleatoriedad  y  entropia  a  ciertos 
valores  que  desde  hace  mucho  se  sabia  que  no  eran  la  mejor  solution  para  asegurar  el  protocolo.  Es  por 
esto  que  se  apostaba  desde  un  principio  por  que  la  vulnerabilidad  de  Kaminsky  se  tratara  en  realidad  de 
una  nueva  forma  mas  eficaz  de  enganar  a  los  servidores  DNS  para  que  den  respuestas  falsas,  gracias  a  un 
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fallo  inherente  del  protocolo  (y  asi  ha  sido). 

Kaminsky  daria  los  detalles  un  mes  despues,  en  la  conferencia  Black  Hat  de  agosto.  Por  una  parte,  el 
descubridor  estaba  siendo  responsable  (dando  tiempo  a  los  administradores)  pero  tremendamente 
mediatico  por  otra  (creando  una  expectation  exagerada  en  tor  no  a  la  conferencia).  Todo  esto,  ayudado 
por  la  desinformacion  de  los  medios  generabstas  ha  ayudado  a  que  la  desconfianza  siguiese  creciendo. 
Todos  defendian  su  teoria:  desde  el  esceptico  hasta  el  que  hablaba  de  la  debacle  de  la  Red.  Solo  un  grupo 
de  personas  concretas  conocia  los  detalles  tecnicos,  y  tenian  instrucciones  de  no  revelarlos  y  de  evitar 
las  especulaciones  publicas.  Kaminsky  pretendia  asi  ingenuamente  asegurarse  que  solo  el  daria  los 
detalles  cuando  lo  tenia  planeado,  cumpliendo  asi  la  segunda  parte  de  su  plan  una  vez  publicadas  las 
actualizaciones.  Imposible...  poco  despues  las  listas  estaban  llenas  de  comentarios  y  elucubraciones. 

Afortunadamente  en  la  seguridad  informatica  siempre  hay  alguien  que  va  mas  alia.  Thomas  Dullien,  el 
CEO  de  la  compama  Zynamics  (tambien  conocido  como  Halvar  Flake)  se  aventuro  a  publicar  en  su  blog 
su  particular  vision  de  lo  que  podia  ser  el  problema  descubierto  por  Kaminsky,  sin  tener  conocimiento 
previo  de  los  detalles.  Y  no  se  equivoco  en  su  teoria.  La  insinuation  de  que  estaba  en  lo  cierto  vino  desde 
varios  frentes  (entre  ellos  desde  un  post  en  Twitter  del  propio  Kaminsky),  pero  lo  confirmo  totalmente  una 
entrada  del  lunes  pasado  en  el  blog  de  Thomas  Ptacek,  director  la  compania  Matasano  que  era  de  los  que 
conocia  los  detalles  reales.  La  entrada  estaba  firmada  por  un/a  tal  “ecopeland”  del  equipo  de  Ptacek.  Segun 
linkedin.com  existe  un/a  Erin  Ptacek  (Copeland),  desarrollador/a  de  software  en  Matasano  ((-'.familiar  del 
director?).  En  el  post  se  daba  la  razon  a  Dullien,  junto  con  todo  lujo  de  detalles  sobre  el  fallo  que  Dullien 
habia  ‘redescubierto’.  La  explication  fue  retirada  poco  despues  (actualmente  esta  disponible  a  traves  de 
la  cache  de  Google).  Ptacek  se  ha  disculpado  publicamente,  probablemente  se  dejo  llevar  por  su  animo  de 
compartir  la  informacion.  Demasiado  tarde...  ya  circula  libremente  por  Internet. 

Los  detalles  tecnicos  pueden  ser  encontrados  en  el  apartado  de  mas  informacion.  No  tardaran  en  aparecer 
exploits.  Ahora  la  gravedad  del  problema  se  multiplica.  Afortunadamente  casi  todos  los  fabricantes  han 
publicado  ya  un  parche. 

Aunque  se  conocia  el  problema  desde  enero,  Kaminsky  trabajo  intensamente  con  los  grandes  fabricantes 
para  mantenerlo  en  secreto  y  coordinar  la  aparicion  de  parches  un  dia  concreto  (que  tuvo  que  coincidir  con 
el  dia  de  actualizacion  de  Microsoft).  Esto  resulta  extremadamente  complicado,  y  hay  que  reconocer  que 
ha  debido  resultar  un  trabajo  complejo  el  coordinar  y  mantener  la  discretion  sobre  un  tema  tan  delicado. 
Un  esfuerzo  elogiable.  Sin  embargo  desde  que  se  anuncio  la  existencia  del  problema,  solo  se  han  necesitado 
dos  semanas  para  que  sea  desvelado,  frustrando  el  plan  de  Kaminsky  de  aguantar  un  mes  hasta  la  Black 
Hat  para  revelar  los  detalles. 

Son  muchas  las  moralejas  y  conclusiones  que  se  pueden  extraer  de  este  incidente.  De  nuevo  el  debate  sobre 
la  revelation  responsable  de  vulnerabilidades,  la  fuerza  del  ego  de  muchos  investigadores,  la  demostracion 
de  que  un  esfuerzo  coordinado  para  una  actualizacion  masiva  ante  un  problema  comun  es  posible...  pero 
sobre  todo  llama  la  atencion  la  capacidad  de  Thomas  Dullien  de  redescubrir  un  problema  que  siempre 
habria  estado  ahi,  pero  que  no  se  habia  planteado  buscar  hasta  que  alguien  apunto  que  existia.  Dullien 
contaba  con  las  bases  (el  protocolo  DNS  sufre  de  problemas  inherentes  conocidos)  solo  habia  que  mover 
las  piezas  para  encontrar  lo  que  podia  ser  el  fallo  que  otro  decia  ya  saber.  Y  acerto.  Una  de  las  mejores 
formas  de  captar  el  interes  de  un  asunto,  (aunque  siempre  haya  estado  ante  nuestras  narices  y  creamos 
conocerlo)  es  afirmar  que  oculta  un  secreto. 

Sergio  de  los  Santos 
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30/07/2008  Consejos  utiles  contra  el  malware  2.0  en  Windows 

Los  consejos  obsoletos  ofrecen  una  falsa  sensation  de  seguridad  de  la  que  se  estan  aprovechando  los 
atacantes.  Muchas  de  las  informaciones  publicadas  sobre  seguridad  en  general  y  sobre  malware  en 
particular  no  han  sabido  renovarse,  y  se  perpetuan  coletillas  y  axiomas  que  (aunque  utiles  y  necesarios) 
no  se  han  matizado  ni  completado  correctamente  con  el  tiempo.  Son  consejos  de  hace  ahos,  que  no  se  han 
adaptado  a  una  industria  (la  del  malware)  que  avanza  mucho  mas  rapido  de  lo  que  podamos  imaginar. 
Vamos  a  ofrecer  algunos  consejos  utiles  contra  el  malware...  de  hoy. 

Administrador  no,  gracias 

El  principal  consejo  para  los  usuarios  de  sistemas  operativos  en  general  y  los  de  Windows  en  particular  es 
no  usar  la  cuenta  de  administrador.  Se  debe  utilizar  la  cuenta  de  un  usuario  sin  privilegios,  sin  excusas. 
Esto  es  lo  que  puede  llevar  a  una  mayor  protection  no  solo  contra  el  malware,  sino  contra  posibles  despistes 
del  propio  usuario.  Un  “administrador”  esta  precisamente  para  “administrar”,  y  son  muy  pocas  veces  las 
que  un  usuario  utiliza  su  sistema  para  realizar  modificaciones  importantes.  La  mayor  parte  del  tiempo  lee 
correo  0  navega,  actividad  esta  ultima  que  conlleva  un  importante  riesgo,  sea  con  el  navegador  que  sea. 
Esta  irresponsable  actitud  de  usuario  administrador  perpetuo  esta  heredada  de  los  tiempos  de  Windows 
gx.  No  tenia  sistema  de  usuarios  local  real,  ni  soportaba  NTFS,  con  lo  que  no  se  podian  establecer  permisos 
por  usuarios.  Cuando  aparecio  XP,  tras  su  instalacion  Microsoft  permitia  por  tin  la  creation  de  un  usuario 
distinto  al  administrador  para  el  uso  del  sistema.  Un  gesto  que  hubiera  servido  de  algo  si  este  mismo 
usuario  no  perteneciese  por  defecto  al  grupo  administradores,  y  por  tanto  fuese  tan  poderoso  como  el. 

A  nadie  que  utilice  un  sistema  operativo  que  no  sea  Windows  se  le  ocurre  realizar  sus  actividades  cotidianas 
como  “root”  o  superusuario.  En  Windows,  lo  extrano  es  precisamente  lo  contrario,  trabajar  con  cuentas 
limitadas.  Este  es  el  verdadero  origen  de  la  mayor  parte  de  los  males,  y  de  que  el  malware  pueda  campar 
a  sus  anchas  en  un  ordenador  donde  puede  escribir,  leer,  modificar...  puesto  que  es  ejecutado  con  los 
mismos  permisos  del  usuario  que  esta  usando  la  maquina. 

En  Windows  Vista,  Microsoft  ha  establecido  un  importante  sistema  de  seguridad  para  mitigar  este 
problema  heredado,  rompiendo  asi  una  tendencia  muy  arraigada  y  limitando  el  poder  del  usuario  habitual. 
Se  ha  relegando  por  tin  el  uso  del  administrador  a  un  segundo  piano.  Sin  embargo  esto  ha  sido  visto  por 
muchos  usuarios  como  un  estorbo,  en  vez  de  como  una  importantisima  mejora  en  su  seguridad. 

Aunque  se  presente  aqui  como  panacea,  no  lo  es.  Todavia  una  parte  del  malware  actual  podria  seguir 
actuando.  Ademas,  trabajar  como  usuario  raso  en  XP  o  2000  puede  llegar  a  ser  incomodo,  incluso  para 
usuarios  experimentados.  Es  necesario  tener  conocimientos  sobre  permisos,  privilegios,  NTFS,  derechos, 
herencias,  grupos...  Por  si  fuera  poco,  con  animo  de  no  complicar  al  usuario,  Windows  XP  Home  Edition 
escondia  deliberadamente  la  pestana  de  seguridad  para  poder  cambiar  los  permisos,  a  no  ser  que  se 
trabajar  a  en  modo  a  prueba  de  fallos. 

Actualizar  el  sistema 

No  solo  Windows,  sino  todos  los  programas  que  tengamos  instalados  deben  estar  actualizados  a  la 
ultima  version  de  su  rama.  Esto  es  muy  importante,  pues  una  gran  parte  del  malware  hoy  en  dia  se 
aprovecha  de  vulnerabilidades  conocidas  que  ya  tienen  parche.  Muchos  usuarios  piensan  que  un  Windows 
parcheado  tendra  problemas  “legales”  o  que  sufrira  fallos  de  compatibilidad.  Un  Windows  sin  actualizar 
es  un  Windows  contaminado.  Pero  no  solo  el  sistema  operativo.  Todo  programa  es  susceptible  de  sufrir 
problemas  de  seguridad  y  de  que  sean  aprovechados.  Desde  el  reproductor  de  MP3  hasta  el  lector  de  PDF, 
se  han  detectado  ataques  dirigidos  a  versiones  vulnerables  de  los  programas  mas  utilizados  para  tareas 
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comunes.  La  unica  solucion  es  no  abrir  archivos  no  solicitados  tengan  el  formato  que  tengan  y  sobre  todo, 
mantener  actualizados  los  programas  que  los  interpretan. 

Mantenerse  informado 

Mantenerse  informado  sobre  tendencias  de  seguridad,  malware  y  estado  en  general  de  la  seguridad  en 
la  red.  No  se  puede  luchar  contra  lo  que  no  se  conoce.  Son  muchos  los  usuarios  que  desconocen  que 
pueden  ser  infectados  por  archivos  que  no  son  ejecutables,  que  es  posible  ejecutar  codigo  arbitrario  en 
el  sistema  de  forma  transparente  con  solo  visitar  una  web,  o  que  el  SSL  del  banco  visitado  no  tiene  por 
que  significar  que  un  sistema  no  este  troyanizado  o  que  no  se  trate  de  un  phishing.  Otros  piensan  que  el 
hecho  de  que  la  pagina  del  banco  aparezca  modificada  y  requiera  mas  casillas  de  la  tarjeta  de  coordenadas 
de  lo  habitual,  significa  que  la  seguridad  ha  aumentado...estar  informado  es  primordial.  No  solo  por  lo 
cambiante  de  algunas  tecnicas,  sino  tambien  porque  es  necesario  seguir  de  cerca  ciertas  campanas  que 
emprenden  los  atacantes  y  que  suscitan  modas  y  comportamientos  sobre  los  que  resulta  imprescindible 
estar  especialmente  atento.  Existen  momentos  en  los  que  se  perpetran  ataques  concretos  para  los  que 
puede  que  la  unica  solucion  sea  conocerlos  y  evitarlos  hasta  que  exista  parche. 

Otros  consejos 

Estos  tres  consejos  anteriores  son  los  mas  importantes.  Por  desgracia  no  son  los  que  se  dan  habitualmente 
en  los  medios  no  especializados.  Ni  la  tecnologia,  ni  Internet  ni  los  atacantes  son  los  mismos  que  hace 
cinco  anos,  por  tanto  las  precauciones  no  deben  ser  iguales  para  siempre.  Obviamente  es  necesario  usar 
herramientas  o  suites  de  seguridad  actualizadas  (cortafuegos,  antispyware...)  pero  sobre  todo,  saber  como 
se  usan.  Si  no  se  saben  manejar,  se  vuelven  inutiles. 

f.Y  el  antivirus?  Por  supuesto.  Tambien  es  imprescindible  tener  un  antivirus  actualizado  a  diario. 

Sergio  de  los  Santos 


20/10/2008  La  comparativa  del  escandalo 

Secunia  ha  publicado  una  comparativa  de  suites  de  seguridad  que  ha  levantado  cierta  polemica. 
Especialmente  por  la  metodologia  escogida:  en  vez  de  utilizar  distintos  tipos  de  muestras  de  malware 
(como  viene  siendo  lo  habitual  para  comprobar  los  ratios  de  detection),  se  han  usado  exploits  creados  para 
la  ocasion  y  paginas  web  modificadas  para  aprovechar  estos  exploits.  Las  casas  antivirus  no  han  salido  muy 
bien  paradas,  pero  en  realidad  es  necesario  matizar  en  extremo  las  conclusiones  de  esta  comparativa. 

Las  condiciones 

En  total  se  han  usado  300  exploits  (144  archivos  maliciosos  y  156  paginas  web  modificadas).  Los  resultados 
dicen  que  ninguna  de  las  suites  consiguio  el  aprobado. 

De  acuerdo  con  Secunia,  las  condiciones  de  los  tests  fueron  las  siguientes: 

1-  Los  archivos  maliciosos  fueron  primero  analizados  al  desempaquetar  un  archivo  ZIP,  en  el  que  estaban 
contenidos,  para  comprobar  la  eficiencia  del  escaner  al  acceder  en  “tiempo  real”. 
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2-  Posteriormente  la  carpeta  fue  escaneada  de  forma  manual  para  asegurarse  de  que  fueran  procesados 
todos  los  archivos. 

3-  Las  paginas  web  maliciosas  fueron  analizadas  una  por  una  usando  Internet  Explorer. 

Solo  la  suite  de  Norton,  de  las  12  analizadas,  pasaba  del  20%  de  deteccion,  mientras  que  el  resto  no  llegaba 
al  3%.  Pero  esto  no  significa  nada. 

Las  quejas 

Muchas  casas  antivirus  y  empresas  del  sector  no  estan  de  acuerdo  (con  razon)  con  los  resultados  obtenidos. 
Utilizan  los  siguientes  argumentos: 

*  Los  tests  no  se  realizaron  de  forma  completa.  Lo  ideal  hubiera  sido  tener  una  maquina  en  la  que  estuvieran 
instaladas  tanto  la  version  vulnerable  del  software  a  explotar  como  la  suite  de  seguridad  de  Internet.  El 
paso  siguiente  es  intentar  ejecutar  el  exploit  en  ese  entorno  y  esperar  a  ver  si  es  bloqueado  o  no. 

*  Los  tests  se  realizaron  a  demanda,  es  decir,  se  paso  el  escaner  sobre  los  archivos  que  contenian  los 
exploits,  pero  no  se  ejecutaron.  La  unica  forma  de  deteccion  posible,  en  esas  circunstancias,  es  que  exista 
una  firma  especifica  en  el  componente  antivirus  para  detectar  los  exploits  o  que  sean  detectados  por 
heuristica. 

*  Se  han  utilizado  exploits  de  laboratorio,  especialmente  creados  para  estos  tests  y  diferentes  de  los  que 
podrian  circular  por  Internet  en  la  actualidad. 

Por  estas  y  otras  razones  alegan  que  el  test  puede  ser  orientativo  unicamente  a  nivel  del  escaner,  pero 
en  ningun  momento  se  puede  juzgar  la  totalidad  de  la  suite  por  los  resultados  obtenidos.  Tambien  se 
defienden  diciendo  que,  muchas  de  las  caracteristicas  anti-exploit  incluidas  en  las  suites  ni  siguiera  han 
entrado  en  juego,  como  son  por  ejemplo: 

*  Virtualizacion  y  mecanismos  de  protection  contra  desbordamientos  de  bufer/pila/heap. 

*  Incluso  si  los  exploits  fueran  ejecutados,  un  HIPS  (sistema  de  prevention  de  intrusiones  basado  en  host), 
un  IDS  (sistema  de  deteccion  de  intrusos)  0  un  firewall  podrian  servir  para  bloquearlos. 

*  Tampoco  se  ha  tenido  en  cuenta  el  hltrado  de  URLs  maliciosas  ni  de  exploits  del  navegador. 

El  CEO  de  AV-Test.org  Andreas  Marx,  tambien  apunta  que  falta  information  tecnica  sobre  como  se 
ha  realizado  el  test,  tal  como  por  ejemplo:  productos  exactos  y  versiones  utilizadas,  fecha  de  la  ultima 
actualization  de  los  motores,  0  bajo  que  entorno  se  han  realizado  las  pruebas  sobre  las  paginas  web  y 
HTML. 

La  conclusion  del  informe,  firmada  por  Thomas  Kristensen,  el  CTO  de  Secunia:  “Los  resultados  muestran 
que  los  fabricantes  de  productos  de  seguridad  no  se  centran  en  vulnerabilidades.  En  vez  de  eso,  tienen 
un  enfoque  mucho  mas  tradicional,  lo  que  deja  a  sus  clientes  expuestos  al  nuevo  malware  que  explota 
vulnerabilidades.  (...)  El  area  esta,  mas  o  menos,  completamente  ignorada  por  los  fabricantes  de  productos 
de  seguridad”. 

Esta  conclusion,  junto  con  la  omision  de  ciertos  detalles,  no  ha  sentado  nada  bien  a  algunas  personas 
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influyentes  dentro  del  sector  y  ha  provocado  las  siguientes  reacciones: 

*  Alex  Eckelberry  de  Sunbelt  Software:  “Este  test  es  estupido  y  una 
maniobra  publicitaria  inutil”. 

*  Pedro  Bustamante  de  Panda  Security:  “Es  como  decir  que  vas  a  probar  el  ABS  de  un  coche  tirandolo  por 
un  acantilado  de  200  metros  de  profundidad.  Absurdo,  sensacionalista  y  como  minimo  enganoso”. 

A  todo  esto,  Kristensen  se  ha  defendido,  diciendo  que:  “Las  Internet  Security  Suites  son  bastante  utiles 
para  la  mayoria  de  usuarios.  (...)  Pero  es  mejor  prevenir  los  ataques  parcheando  que  confiar  en  otras 
medidas  de  seguridad  por  si  solas”. 

Nuestras  conclusiones 

Es  necesario  resaltar  ademas  algunos  aspectos  interesantes  que  observamos  en  este  informe: 

*  Esta  realizado  desde  una  compania  que  vende  servicios  de  prevencion  de  vulnerabilidades.  Por  tanto  la 
conclusion  extraida  le  es  conveniente  desde  el  punto  de  vista  comercial.  Lo  que  es  peor,  esta  enfocada  desde 
todos  los  aspectos  para  que  asi  sea.  Por  ejemplo:  los  exploits  mas  usados  por  los  atacantes  si  suelen  ser  mas 
reconocidos  por  las  firmas  de  las  soluciones  antivirus  que,  obviamente,  los  creados  para  la  ocasion.  Esto  no 
es  nada  nuevo,  pasa  exactamente  igual  con  el  malware:  desde  siempre,  los  virus  recien  creados  ha  sido  menos 
detectados  por  firmas  en  un  principio.  Tampoco  es  dificil  crear  especificamente  troyanos  “no  detectados 
por  firmas.  Los  atacantes  lo  hacen  todos  los  dias.  Otra  cosa  es  que  sean  detectados  por  comportamiento 
en  el  sistema  una  vez  ejecutados,  que  es  el  punto  fuerte  de  las  suites  en  estos  momentos. 

*  Las  alegaciones  desde  las  casas  antivirus  son  legitimas.  No  es  ningun  secreto  que  el  modelo  de  deteccion 
por  firmas  es  cada  vez  “una  parte  mas”  de  los  antivirus,  y  no  se  puede  juzgar  a  un  producto  exclusivamente 
por  la  deteccion  estatica  de  muestras.  Es  lo  mismo  que  ocurre  con  VirusTotal.  Los  resultados  obtenidos 
al  enviar  una  muestra  son  analizados  de  forma  estatica,  por  tanto  pueden  diferir  de  lo  que  un  usuario 
obtiene  con  el  antivirus  instalado  en  su  sistema.  Las  suites,  cada  vez  mas,  se  basan  en  el  comportamiento 
de  las  muestras  para  detectar  el  malware,  ademas  de  en  las  firmas.  Es  mas,  hacen  una  buena  labor  en  ese 
sentido,  y  no  es  posible  hoy  en  dia  evaluar  un  producto  completo  solo  por  una  de  sus  funciones.  Si  se  quiere 
evaluar  la  calidad  y  cantidad  de  firmas,  se  debe  ser  consciente  de  que  eso  es  solo  una  parte  del  producto. 

*  Si  es  cierto  que  el  usuario  medio  suele  ser  victima  del  marketing  agresivo  de  las  casas  antivirus,  y  creen 
que  la  suite  les  salvara  de  todo  mal.  Slogans  como  “Proteccion  total”  o  “Blindaje  del  sistema”  calan  en  el 
usuario  que  concluye  que  realmente  es  lo  unico  que  necesita.  Por  otro  lado,  este  tipo  de  informes  como  el 
generado  por  Secunia  polarizan  la  opinion:  ‘V.Acaso,  a  pesar  del  dinero  invertido  en  la  solution  antimalware, 
no  estoy  protegido  por  completo?”  o  “Las  soluciones  antimalware  no  sirven  para  nada”.  Ninguna  de  las 
dos  posiciones  es  adecuada.  Las  soluciones  antivirus  son  imprescindibles,  pero  es  necesario  combinarlas 
con  otros  metodos  de  prevencion  como  son  las  actualizaciones  de  seguridad  de  los  sistemas  y  programas, 
ademas  del  uso  de  cuentas  no  privilegiadas. 
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27/11/2008  El  antivirus  que  lo  detecta  todo 

No  es  broma,  las  nuevas  estrategias  en  la  deteccion  de  codigo  malicioso  apuntan  a  ese  objetivo  que  puede 
sonar  utopico.  No  quiere  decir  que  nos  estemos  acercando  al  antivirus  perfecto,  sino  que  los  nuevos 
enfoques  de  las  soluciones  de  seguridad  intentan  identificar  tanto  al  malware  como  a  los  ficheros  legitimos, 
tratan  de  clasificar  todo. 

Si  nuestro  ordenador  fuera  una  discoteca  el  antivirus  seria  el  portero,  el  encargado  de  decidir  quien  puede 
pasar  y  quien  no  a  divertirse  en  nuestro  local.  Dependiendo  de  lo  exclusiva  que  sea  nuestra  discoteca,  la 
direccion  podria  haber  ordenado  al  portero  que  siguiera  una  de  las  siguientes  estrategias: 

(1)  solo  dejar  pasar  a  las  personas  VIP  y  conocidas  segun  una  lista  (lista  blanca). 

(2)  no  dejar  pasar  a  aquellas  personas  reconocidas  como  problematicas  (lista  negra). 

Con  la  estrategia  (1)  nuestra  discoteca  seria  demasiado  elitista,  ya  que  no  permitiria  entrar  a  gente  nueva 
o  desconocida  hasta  que  no  hubiera  sido  dado  de  alta  en  la  lista  blanca.  Un  verdadero  incordio  y  no  seria 
operativo.  En  el  caso  (2)  nuestro  local  estaria  mas  animado  y  evitariamos  a  los  individuos  peligrosos 
reconocidos,  que  en  un  principio  no  eran  demasiados,  asi  que  la  direccion  de  la  discoteca  aposto  por  esta 
option. 

El  de  los  antivirus  siempre  habia  sido  un  mundo  de  listas  negras,  estrategia  numero  (2),  con  firmas  y 
patrones  para  detectar  al  codigo  malicioso  e  impedirles  que  pudieran  entrar  0  ejecutarse  en  nuestro 
ordenador. 

Con  el  tiempo  se  vio  que  esa  estrategia  era  insuficiente,  ya  que  habia  mucho  malware  de  nueva  creation 
que  no  se  encontraba  en  la  lista  negra  (se  les  colaban  muchos  indeseables).  La  lista  negra  requeria  ser 
constantemente  actualizada  y,  aun  asi,  no  era  suficiente.  Se  aposto  por  potenciar  la  heuristica,  que  en  el 
caso  de  nuestro  portero  vendria  a  ser  una  orden  similar  a  la  siguiente: 

(3)  no  dejar  pasar  a  personas  que  por  sus  caracteristicas  te  parezcan  sospechosas  o  que  pudieran  causar 
problemas 

Con  la  entrada  de  la  heuristica  la  discoteca  tuvo  algunos  problemas,  el  portero  sospecho  de  gente  VIP  y 
no  les  dejo  entrar.  Asi  que  la  direccion  le  dijo  al  portero  que  utilizara  tambien  una  pequena  lista  blanca 
para  reconocer  a  esas  personas  y  no  impedirles  su  entrada  por  error.  De  esta  forma  el  portero  comenzo  a 
utilizar  al  mismo  tiempo  las  estrategias  (1),  (2)  y  (3)  de  forma  complementaria. 

De  esta  misma  forma  el  uso  de  listas  blancas  comenzo  a  ser  mas  popular  entre  los  antivirus,  si  bien 
solia  limitarse  a  corregir  y  prevenir  falsos  positivos,  para  no  dar  por  malware  o  virus  un  fichero  legitimo 
muy  conocido.  Ya  sabeis,  detectar  como  malware  el  notepad.exe  seria  como  negarle  la  entrada  a  nuestra 
discoteca  a  Pilar  Rubio.  Imperdonable. 

Paso  el  tiempo  y  la  discoteca  seguia  teniendo  incidentes  y  problemas  de  seguridad.  Aun  teniendo  una 
lista  negra,  heuristica  y  lista  blanca,  seguian  colandose  muchos  indeseables  al  local.  La  direccion  pidio  al 
portero  que  aumentara  su  nivel  de  heuristica,  mas  paranoia  a  la  hora  de  impedir  el  paso  a  personas  que 
aparentemente  pudieran  dar  problemas. 

En  el  mundo  de  los  antivirus  hemos  visto  ese  aumento  de  paranoia  en  heuristicas  mas  agresivas,  por 
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ejemplo  aquellas  que  detectan  como  malware  un  fichero  por  el  simple  hecho  de  estar  tratados  con  un 
“packer”. 

Con  la  nueva  heuristica  mas  paranoica  aumentaron  las  reclamaciones  a  la  direction  de  la  discoteca.  A 
muchas  personas  que  no  eran  tan  famosas  como  para  estar  en  la  lista  VIP  o  pequena  lista  blanca  se  les 
negaba  la  entrada  al  local  por  parecer  sospechosas  a  ojos  del  portero. 

La  discoteca  estaba  en  crisis.  Si  aumentaba  la  heuristica  y  paranoia  del  portero  tenian  reclamaciones  por 
impedir  la  entrada  a  personas  legitimas.  Si  disminuia  la  heuristica  se  le  colaban  demasiados  indeseables. 

En  esa  situation  se  encuentra  la  industria  antivirus  actual:  una  lista  negra  actualizandose  constantemente 
(hay  antivirus  que  se  actualizan  varias  veces  cada  hora);  una  heuristica  agresiva  para  detectar  nuevos 
especimenes  que  no  esten  en  su  lista  negra;  y  una  lista  blanca  mas  pequena,  y  que  se  actualiza  menos,  para 
evitar  meter  la  pata  excesivamente  detectando  como  malware  algun  software  muy  conocido  y/o  extendido. 
El  resultado  es  de  crisis  tecnica,  siguen  teniendo  muchos  problemas  como  en  la  discoteca,  o  bien  estan 
detectando  como  malicioso  software  legitimo,  o  bien  se  les  sigue  colando  en  cantidad  malware  de  verdad, 
o  en  el  peor  de  los  casos  ambas  cosas. 

Una  de  las  soluciones  podria  ser  tener  una  lista  blanca  muy  grande  y  actualizarla  constantemente,  como  en 
el  caso  de  la  lista  negra.  Eso  limitaria  el  numero  de  falsos  positivos  y  las  heuristicas  podrian  concentrarse 
en  aquellos  ficheros  totalmente  desconocidos,  que  no  estan  ni  en  la  lista  negra  ni  en  la  lista  blanca,  y  que 
deberian  ser  un  numero  mas  reducido. 

De  esta  forma  un  antivirus  podria  tener  un  primer  dictamen  muy  rapido  dado  un  fichero:  o  se  encuentra 
en  la  lista  negra  y  por  tanto  es  malicioso,  o  se  encuentra  en  la  lista  blanca  y  no  necesito  analizarlo,  o  lo 
marco  como  desconocido  “lista  gris”  y  le  aplico  una  heuristica  agresiva,  o  les  hago  un  seguimiento  especial 
(monitorizacion  del  comportamiento),  o  lo  paso  a  cuarentena  a  la  espera  de  un  proceso  que  permita  tener 
un  dictamen  mas  o  menos  fiable. 

Esta  nueva  estrategia  requerirla  manejar  unas  listas  blancas  y  negras  muy  grandes,  y  actualizarlas 
constantemente,  para  minimizar  el  numero  de  ficheros  que  podrian  caer  en  la  lista  gris  (desconocidos). 
Eso  se  traduce  en  el  consumo  de  un  mayor  numero  de  recursos  por  parte  del  antivirus  local:  imaginemos 
que  el  portero  tiene  que  consultar  dos  listados  de  millones  de  registros  cada  vez  que  alguien  quiere 
entrar  a  nuestro  local.  En  el  PC  significaria  mayor  consumo  de  memoria  y  CPU,  amen  de  una  constante 
actualization  de  los  ficheros  de  hrmas  a  traves  de  Internet. 

La  solution  a  este  problema  de  recursos  viene  de  la  mano  de  lo  que  se  ha  dado  por  llamar  “cloud  computing”, 
tan  de  moda  desde  hace  un  tiempo,  y  que  no  es  mas  que  traspasar  parte  del  trabajo  a  un  servidor  remoto 
con  una  enorme  capacidad  de  almacenamiento  y  proceso  (lo  que  se  conoce  por  “la  nube”).  En  vez  de  tener 
que  consultar  unas  enormes  listas  negras  y  blancas  en  el  ordenador  local,  con  el  consiguiente  consumo  de 
recursos,  esa  consulta  se  hace  a  traves  de  Internet  a  un  gran  servidor  centralizado  (un  cluster  de  servidores) 
que  devuelve  al  PC  el  resultado,  si  ese  fichero  esta  en  su  lista  negra  o  blanca. 

Con  este  enfoque  el  numero  de  ficheros  desconocidos  disminuye  y,  por  tanto,  el  antivirus  local  puede 
centrarse  en  ellos  con  heuristicas  o  una  monitorizacion  del  comportamiento  con  mayor  detenimiento  para 
dictaminar  si  es  un  codigo  malicioso  o  no.  La  otra  ventaja  es  que  ese  dictamen  local  puede  traspasarse  a 
la  nube,  a  los  servidores  centralizados,  en  tiempo  real,  de  forma  que  ese  malware  nuevo  descubierto  en 
un  PC  formara  parte  de  la  lista  negra  y  prevendra  a  otros  sistemas  que  realicen  a  posteriori  una  consulta 
sobre  ese  fichero  en  particular.  Incluso,  dependiendo  de  la  estrategia  del  antivirus,  los  ejecutables 
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desconocidos  podrian  ser  enviados  al  servidor  centralizado  donde  podria  ser  analizado  automaticamente 
con  mayores  recursos  informaticos  o  ser  trasladado  a  un  analista  humano  si  el  dictamen  automatico  no 
es  concluyente. 

Esta  realimentacion  constante,  entre  PCs  y  servidores  centralizados  que  permite  el  “cloud  computing”, 
esta  produciendo  listas  negras  y  blancas  con  millones  de  firmas  o  registros  que  serian  inviables  tener  de 
forma  local  en  un  PC,  y  nos  acercan  un  poco  mas  a  la  utopia  del  antivirus  que  es  capaz  de  detectar  casi 
todo. 

No  seria  de  extranar  que  a  corto  o  medio  plazo,  dado  un  analisis  a  demanda  de  un  disco  duro,  un  antivirus 
pudiera  llegar  a  darnos  un  log  completo  (identificando  todos  los  ficheros),  indicando  cuales  son  benignos 
segun  su  lista  blanca,  cuales  son  malware  segun  su  lista  negra,  y  aplicando  un  coeficiente  de  mayor  o 
menor  peligrosidad  segun  heuristica  a  los  archivos  desconocidos. 

Volviendo  a  nuestro  portero,  imaginemos  que  la  discoteca  ha  contratado  un  sistema  de  reconocimiento 
facial  que  conecta  automaticamente  a  un  servidor  centralizado  que  mantiene  una  gran  base  de  datos  de 
personas  y  sus  antecedentes.  Una  camara  en  la  puerta  automaticamente  va  capturando  imagenes  de  las 
caras  de  las  personas  que  quieren  entrar,  las  envia  al  servidor  centralizado  donde  se  compara  con  su  base 
de  datos,  y  devuelve  al  portero  en  tiempo  real  si  es  alguien  de  confianza,  si  es  alguien  problematico,  o  si  no 
tiene  information  de  esa  persona. 

El  portero  puede  ahora,  de  forma  instantanea,  permitir  o  denegar  la  entrada  segun  la  respuesta  del 
sistema,  y  solo  tendra  que  utilizar  su  heuristica  con  unas  pocas  personas  (las  que  el  sistema  no  reconozca). 
Al  ser  pocas  personas  a  las  que  debe  aplicar  la  heuristica  podra  hacerlo  con  mas  detenimiento,  desde 
pedir  documentation  a  cachearla,  actuaciones  que  antes  no  podia  realizar  de  forma  indiscriminada  por 
un  problema  de  volumen  y  recursos.  Si  detecta  que  un  desconocido  lleva  un  arma,  ademas  de  impedirle 
la  entrada  al  local,  se  informa  automaticamente  al  servidor  centralizado  que  mantiene  la  base  de  datos, 
realimentando  el  sistema. 

Como  el  mismo  servidor  centralizado  da  servicio  a  muchas  discotecas,  el  sistema  se  alimenta  de  la 
information  y  actuaciones  individuales  de  muchos  porteros  en  tiempo  real.  Ademas  recoge  information 
adicional  que  puede  ser  util  a  la  hora  de  correlacionar  datos. 

Visto  asi  esta  estrategia  parece  un  avance  importante  para  el  mundo  de  lo  antivirus,  pero  no  es  la  panacea. 
El  problema  sigue  siendo  el  mismo,  dictaminar  si  un  fichero  es  malicioso  o  no.  Incluso  puede  que  los  errores 
al  dictaminar  sean  mas  graves,  si  marcamos  por  error  que  un  archivo  es  benigno  y  se  cataloga  en  la  lista 
blanca  es  mas  que  probable  que  se  deje  actuar  a  ese  codigo  en  cualquier  ordenador  local  a  sus  anchas  o, 
en  el  mejor  de  los  casos,  aplicandole  analisis  heuristicos  o  de  comportamiento  mas  relajados  en  el  sistema 
local.  Imaginemos  un  delincuente  que  esta  marcado  como  confiable  en  el  sistema  de  reconocimiento 
facial,  entraria  a  todas  las  discotecas  automaticamente  y  el  portero  no  se  molestaria  en  prestarle  mayor 
atencion. 

Los  servidores  centralizados  deberian  tener  mecanismos  de  reanalisis  y  depuration  de  sus  clasificaciones, 
para  detectar  errores  tanto  de  malware  que  se  haya  asignado  a  las  listas  blancas  como  de  software  legitimo 
que  han  entrado  por  error  en  las  listas  negras.  Tarea  no  sencilla  si  tenemos  en  cuenta  los  volumenes  en  los 
que  pueden  moverse  las  colecciones  de  ficheros,  lo  que  implica  automatization  y  por  ende  dictamenes  con 
un  margen  de  error  no  despreciable. 

Por  lo  tanto  estos  nuevos  antivirus  que  tienden  a  intentar  identificarlo  todo,  tanto  el  malware  como  los 
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ficheros  legitimos,  no  necesariamente  tienen  que  ser  mas  fiables.  Una  cosa  es  que  lo  identifiquen  todo  o 
casi  todo,  otra  cosa  es  que  esa  identification  sea  correcta.  Lo  que  si  es  cierto  es  que  las  estrategias  basadas 
en  el  “cloud  computing”  suponen  un  plus  importante  en  la  detection  del  malware,  especialmente  con 
especimenes  muy  nuevos,  dada  la  actualization  en  tiempo  real  de  las  bases  de  datos  que  se  consultan 
y  la  correlation  centralizada  de  datos  que  se  puede  realizar  gracias  a  la  realimentacion  constante  que 
producen  los  antivirus  conectados  al  servicio. 

En  definitiva,  el  “cloud  computing”  y  el  uso  masivo  de  listas  blancas  son  una  capa  mas  a  sumar  al  antivirus 
tradicional,  pero  no  deberian  por  si  solos  convertirse  en  solution  de  seguridad.  Sus  beneficios  se  pueden 
notar  ya  en  las  primeras  soluciones  antivirus  que  lo  estan  implantando,  sus  debilidades  tampoco  se  haran 
esperar. 


Bernardo  Quintero 
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Durante  este  ano. 


_  El  1  de  enero  desaparece  oficialmente  la  edicion  en  papel  del  BOE  espanol  2009 

(Boletln  oficial  del  Estado)  despues  de  publicarse  durante  350  anos.  Queda  solo  la 
version  digital  con  pleno  valor  juridico  y  un  ahorro  de  6  millones  de  euros 
al  ano.  Las  visitas  a  la  web  del  BOE  crecen  a  un  ritmo  del  20%  anual,  con  una  media  de  tres 
millones  de  visitas. 


_  La  guerra  de  Gaza  continua  con  el  ejercito  israeli  invadiendo  por  tierra  la  franja  de  Gaza.  Acaban  los 
seis  meses  de  alto  el  fuego.  Unos  dias  antes,  los  israelies  usaron  las  fuerzas  aereas  para  bombardear  a  los 
palestinos.  El  10  de  febrero  se  celebrarian  las  elecciones  en  Israel. 

_  Durante  enero,  la  crisis  continua  derrumbando  (metaforicamente)  bancos  y  grandes  entidades.  A  finales 
de  enero  cae  el  sistema  bancario  de  Islandia.  El  primer  ministro  Geir  Haarde  dimite  y  es  sustituido 
por  Johanna  Sigurdardottir,  declarada  abiertamente  gay. 

_  Durante  febrero  se  propagan  los  fuegos  en  Australia,  que  llegan  a  matar  a  173  personas  y  herir  a 
500. 

_  El  28  de  marzo  se  declara  “La  hora  del  planeta”.  La  WWF  anima  a  todos  los  ciudadanos, 
empresas  y  gobiernos  a  combatir  el  cambio  climatico  apagando  las  luces  durante  una  hora. 

Asi,  a  las  20:30  CET  se  apagan  las  luces  de  cientos  de  lugares  publicos  en  todo  el  planeta, 
dejando  sin  iluminacion  monumentos  y  edificios  emblematicos. 

_  El  2  de  abril  se  reune  de  nuevo  el  G-20  para  discutir  sobre  la  crisis  economica  mundial.  Se 

congregan  en  Londres  los  responsables  financieros  de  los  20  paises  mas  relevantes  del  planeta.  Espana 
acudio  a  la  primera  gracias  al  lider  trances  Sarkozy,  que  cedio  a  Jose  Luis  Rodriguez  Zapatero  una  de  las 
sillas  que  le  correspondian  en  la  primera  reunion  en  Washinton. 

_  El  7  de  abril  se  sentencia  a  Alberto  Fujimori  a  25  anos  de  prision  por  ordenar  secuestros  y  asesinatos 
desde  sus  fuerzas  de  seguridad. 

_  El  21  de  abril  la  UNESCO  lanza  la  World  Digital  Library.  La  Biblioteca  Digital 
Mundial  pone  a  disposition  en  Internet,  de  manera  gratuita  y  en  formato  multilingiie 
material  literario  de  la  mayor  parte  de  las  culturas  de  todo  el  mundo.  Segun  la  propia 
pagina,  los  objetivos  de  la  Biblioteca  Digital  Mundial  son:  Promover  el  entendimiento 
internacional  e  intercultural,  ampliar  la  cantidad  y  la  variedad  de  contenidos  culturales  en 
Internet,  facilitar  recursos  a  los  educadores,  estudiosos  y  el  publico  en  general  y  permitir 
a  las  instituciones  asociadas  reducir  la  distancia  digital  dentro  de  y  entre  los  paises. 

_  El  25  de  mayo,  La  Republica  Democratica  y  Popular  de  Corea  (RDPC,  Corea  del  Norte)  realiza  con 
exito  un  nuevo  ensayo  nuclear  subterraneo  en  el  marco  de  sus  “medidas  destinadas  a  reforzar  sus 
capacidades  de  disuasion  nuclear”.  Toda  la  comunidad  internacional  rechaza  de  pleno  estas  pruebas.  El 
primer  ensayo  nuclear  del  pais  en  octubre  de  2006,  segun  el  ministerio  ruso  de  defensa,  era  de  entre  5  y 
15  kilotones.  Se  afirma  que  este  es  entre  4  y  6  veces  superior  en  potencia. 
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Gripe  A. 

A  comienzos  de  marzo,  mas  de  la  mitad  de  los  residentes  de  La  Gloria,  en  el  Estado  de 
Veracruz  en  Mexico,  sufre  problemas  respiratorios  derivados  de  una  gripe.  El  pueblo  esta 
localizado  cerca  de  un  inmenso  criadero  de  cerdos  que  produce  anualmente  un  millon 
de  cabezas.  Comienza  la  pandemia  de  lo  que  finalmente  se  denomino  Gripe  A. 

El  nombre  oficial  es  Influenzavirus  A  de  origen  porcino  (subtipo  H1N1).  Al 
ser  descubierta  se  le  denomino  gripe  porcina  aunque  no  fue  el  unico 
nombre  que  se  manejo.  La  Organizacion  Mundial  de  la  Salud  Animal 
propuso  “gripe  norteamericana".  La  Union  Europea  quiso  llamarla  “nueva 
gripe".  Finalmente  el  30  de  abril  de  2009  la  Organizacion  Mundial  de  la 
Salud  (OMS)  decide  denominarla  gripe  A  (HI N 1 ),  zanjando  la  cuestion 
y  resultando  el  nombre  mayoritariamente  aceptado.  Se  comienzan  a 
detector  casos  de  infecciones  en  personas  que  no  han  viajado  a  Mejico, 
con  lo  que  se  concluye  que  se  transmite  entre  humanos.  El  numero  de  casos  aumenta  en 
todo  el  mundo.  Muchos  afectados  con  otras  afecciones  respiratorios  mueren  a  causa  de 
la  gripe.  Las  alarmas  se  disparan.  El  29  de  abril,  la  OMS  incrementa  el  nivel  de  alerta  por 
pandemia  a  5  indicando  que  la  pandemia  es  “inminente".  El  11  de  junio,  se  declara  la 
fase  6  de  alerta,  esto  es,  pandemia.  Esto  indica  que  la  gripe  se  propaga  mundialmente 
de  forma  rapida,  no  que  sea  mas  virulenta.  De  hecho,  se  registran  en  menos  de  dos  meses 
casos  en  todos  los  continentes.  Los  palses  compran  grandes  cantidades  de  vacunas  de 
cara  a  una  posible  infeccion  masiva  con  la  llegada  del  otono. 


Gripe  A  (HI  N1) 


_  El  25  de  junio  muere  Michael  Jackson,  icono  mundial  del  pop.  Las  primeras 
noticias  sobre  su  muerte  aparecen  en  Twitter.  La  red  se  colapsabuscando  informacion 
sobre  el  artista,  las  paginas  de  informacion  no  dan  abasto.  Youtube  muestra  todos  su 
videos  una  y  otra  vez.  Se  le  homenajea  con  paginas  como  www.eternalmoonwalk. 
com,  donde  cualquier  usuario  puede  colgar  videos  haciendo  el  “moonwalk”  y  son 
encadenados.  Decenas  de  miles  de  personas  participan  el  en  proyecto.  Las  empresas 
aprovechan  para  relanzar  su  discografia  y  apenas  dos  meses  despues  se  estrena 
una  pelicula  documental  “This  is  it”  sobre  su  vida.  Como  suele  ser  habitual,  a  las 
pocas  horas  aparecen  correos  con  malware  que  prometen  mas  informacion  sobre  su 
muerte. 

_  Explota  la  crisis  politica  en  Honduras.  Durante  la  madrugada  del  28  de  junio,  fuerzas  armadas  al 
mando  del  teniente  coronel  Rene  Antonio  Herpburn  Bueso  se  introducen  por  la  fuerza  en  la  residencia 
presidencial  y  detienen  y  exilian  al  presidente  Manuel  Zelaya.  Toda  la  comunidad  internacional  condena 
energicamente  el  golpe  de  estado.  Le  siguen  multitudinarias  manifestaciones  a  favor  del  gobierno  de 
Roberto  Micheletti.  Zelaya  se  recluye  en  la  embajada  de  Brasil  en  Honduras. 

_  El  5  de  agosto,  la  Wikipedia  en  espanol  alcanza  los  500.000  articulos. 

_  El  16  de  agosto  el  jamaicano  Usain  Bolt  bate  el  record  del  mundo  de  los  100  metros  lisos  con 

una  marca  de  9,58  segundos  durante  el  Campeonato  Mundial  de  atletismo  en  Berlin.  Desde  los  tiempos 
de  Carl  Lewis  y  Ben  Johnson  a  finales  de  los  80,  una  carrera  de  velocidad  no  ofrece  tanta  expectation. 
Despues  de  20  anos  en  los  que  un  punado  de  hombres  le  robaban,  literalmente,  centesima  a  centesima  al 
cronometro,  aparece  Bolt  y  baja  en  dos  anos  16  centesimas  al  record  inmediatamente  anterior. 
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9,79  segundos.  Ben  Johnson  en  1988.  Anulado  por  dopaje. 

9,86  segundos:  Carl  Lews  en  1991 

9,85  segundos:  Leroy  Burrel  en  1994 

9,84  segundos:  Donovan  Bailey  en  1996 

9,79  segundos:  Maurice  Green  en  1999 

9,78  segundos:  Tim  Montgomery  en  2002 

9,77  segundos:  Justin  Gatlin  en  2006 

9,74  segundos:  Asafa  Powell  en  2007 

9,69  segundos:  Usain  Bolt  en  2008 

9,58  segundos:  Usain  Bolt  en  2009. 


_  A  pesar  de  los  esfuerzos  de  todos  los  madrilenos  por  acoger  los  Juegos  Olimpicos  de  2016,  Rio  de 
Janeiro  se  erige  como  la  capital  donde  se  realizara  el  evento.  Madrid  sale  a  la  calle  los  dias  previos  a  la 
decision  para  apoyar  su  candidatura. 

_  El  15  de  septiembre  muere  Patrick  Swayze,  a  los  56  anos. 


Seguridad  Informatica 


_  Conficker,  tambien  conocido  como  Downadup,  salta  a  los  medios  generalistas 
activando  alarmas.  Es  la  ultima  alerta  sobre  malware  masivo.  La  combination  de  ciertas 
tecnicas  le  permite  conseguir  un  buen  numero  de  infecciones.  Conficker  juega  bien  sus 
cartas,  haciendo  un  inteligente  uso  del  Autorun  y  Autoplay  de  Windows  para  difundirse.  Igualmente, 
utiliza  tecnicas  avanzadas  de  criptografia  e  ingenieria  social,  y  sale  a  la  luz  en  un  momento  oportuno: 
aprovecha  una  vulnerabilidad  en  Microsoft  Windows  muy  reciente,  y  por  ello  encuentra  un  gran  numero 
de  sistemas  vulnerables  en  los  que  expandirse.  Igualmente,  evoluciona  lo  suficientemente  rapido  como 
para  corregir  sus  propios  errores  y  mantenerse  como  uno  de  los  ejemplares  mas  infecciosos.  Es  el  primero 
en  usar  un  algoritmo  de  generation  de  dominios  que,  por  los  numeros  usados,  impide  virtualmente  que 
los  investigadores  puedan  adelantarse  al  registro  de  dominios  “nodriza”  y  estudiar  su  comportamiento. 
Desconcierta  a  todos  porque  lo  mas  curioso  es  que  no  parece  tener  un  fin  concrete  mas  alia  de  su  propia 
expansion.  Todo  ello  a  pesar  de  una  implacable  persecution  de  los  antivirus  que,  aunque  no  tardan  en 
detectarlo,  parecen  no  ser  efectivos  contra  su  difusion.  Con  el  tiempo,  obligaria  a  Microsoft  a  replantearse 
su  politica  de  ejecucion  automatica  de  dispositivos  extraibles,  publicando  un  parche  que  restringiria  la 
ejecucion  de  archivos  por  defecto. 

_  Se  detecta  en  enero  malware  oculto  en  una  copia  pirata  de  Apple  iWork  09  para  Mac  OS  X. 

Sigue  la  intention  de  la  industria  del  malware  de  llegar  a  los  Mac  OS  X.  Apple  reacciona  timida  y  casi  de 
forma  ridicula,  incluyendo  un  rudimentario  antivirus  en  su  version  Snow  de  septiembre  de  ese  mismo 
ano.  Tan  rudimentario  que  parece  reconocer  solo  dos  familias  de  malware  que  suele  atacar  al  sistema 
operativo  de  Apple  y  solo  comprueba  las  descargas  por  Safari.  No  limpia  el  sistema  ni  nada  parecido,  solo 
aconseja  de  la  peligrosidad  del  archivo.  Es  un  movimiento  que  causaria  cierta  sorna  entre  la  industria 
antivirus.  Realmente  es  un  gesto  que  debe  valorarse  positivamente,  pero  de  poca  utilidad  real. 

_  En  febrero  Apple  publica  uno  de  sus  habituales  mega  parches  para  Mac  OS  X  10,  incluyendo  ademas 
actualizaciones  para  Safari  bajo  Windows  y  Java  para  Mac.  Corrige  50  vulnerabilidades  diferentes. 
El  descubridor  de  una  de  ellas  se  queja  de  que  han  tardado  mas  de  seis  meses  en  publicar  una 
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actualization  para  un  grave  problema  en  Safari,  que  permitia  a  un  atacante  tener  acceso  a  ficheros 
locales  del  sistema  a  traves  de  una  pagina  web. 

_  La  ShadowServer  Fundation  advierte  el  dia  19  de  febrero  de  una  potencial  vulnerabilidad  en  Adobe 
Acrobat  Reader  que  podria  permitir  a  un  atacante  ejecutar  codigo  arbitrario.  A1  descubrirse  el  problema 
mientras  estaba  siendo  aprovechado  activamente  por  atacantes,  se  convierte  en  un  grave  o  day.  Adobe 
reconoce  finalmente  la  vulnerabilidad  como  una  nueva  amenaza,  para  la  que  no  existe  parche  disponible. 
Tres  semanas  despues,  publican  un  parche  pero  no  para  todas  sus  versiones  mantenidas.  En  abril  Adobe 
conhrmaria  otra  grave  vulnerabilidad  en  Adobe  Reader  que  estaba  siendo  aprovechada  por 
atacantes  para  ejecutar  codigo  en  el  sistema  (tanto  Windows  como  cualquier  otro  sistema  operativo  que 
lo  soporte).  En  VirusTotal.com  se  detecta  claramente  la  tendencia  al  alza  de  analisis  de  archivos  PDF  en 
las  horas  en  las  que  se  hace  publico  el  problema,  sin  duda  motivados  por  la  alerta  generada  en  torno  a  ese 
o  day.  Si  la  media  diaria  recibida  en  VirusTotal.com  esta  entre  150  y  200  archivos  en  formato  PDF,  el  dia 
del  anuncio  se  superan  los  500  archivos  analizados.  En  octubre,  se  repetiria  la  historia:  se  encuentra  el 
enesimo  o  day  en  Adobe  Reader  para  Windows. 

_  Moxie  Marlinspike  demuestra  en  una  conferencia  en  la  Black  Hat  como  eludir  la  autenticacion  y  el 
cifrado  SSL  de  las  paginas  supuestamente  seguras.  El  investigador  se  centra  en  una  inteligente 
combination  de  tecnicas  que  permiten  confundir  a  los  usuarios  (incluso  a  los  avanzados)  sobre  si  estan 
o  no  en  la  pagina  correcta.  Ninguna  de  las  tecnicas  usadas  es  realmente  nueva,  pero  todas  en  conjunto 
forman  una  excelente  herramienta  llamada  sslstrip. 

_  En  febrero,  Microsoft  reconoce  en  una  nota  oficial  que  esta  investigando  la  existencia  de 
una  nueva  vulnerabilidad  en  Office  Excel  que  podria  permitir  la  ejecucion  remota  de  codigo  si  un 
usuario  abre  un  archivo  Excel  especialmente  manipulado.  En  la  entrada  titulada  “Detection  Added  For 
The  New  o-day  In  Excel”  del  blog  de  investigation  y  respuesta  ante  amenazas  del  Microsoft  Malware 
Protection  Center  se  anade  algo  de  information  adicional.  Se  proporciona  una  pequena  lista  con  los 
hashes  SHAi  de  algunos  de  los  archivos  que  contienen  el  exploit.  Haciendo  una  busqueda  de  los  hashes  en 
VirusTotal.com  se  aprecia  que  uno  de  los  archivos  fue  enviado  y  analizado  por  primera  vez  en  diciembre  de 
2008,  dato  indicativo  de  que  una  primera  version  del  exploit  podria  estar  siendo  utilizada  desde  entonces. 
Poco  despues  Microsoft  sufriria  otro  grave  problema  de  seguridad  en  PowerPoint,  descubierto  mientras 
estaba  siendo  aprovechado  por  atacantes. 

_  En  marzo,  Matthew  Dempsky  se  lleva  1.000  dolares  por  encontrar  un  pequeno  fallo  de  seguridad 
en  djbdns.  D.  J.  Bernstein  programo  a  mediados  de  los  noventa,  qmail  y  djbdns  con  la  seguridad  siempre 
en  mente.  Precisamente,  estaba  harto  de  vulnerabilidades  en  sus  homologos  Sendmail  y  BIND,  dos  pesos 
pesados  de  Internet  que  sufrian  de  enormes  agujeros  de  seguridad  cada  muy  poco  tiempo  por  aquel 
entonces.  Como  alternativa,  creo  estos  servidores  siguiendo  unas  premisas  muy  sencillas  en  las  que  se 
premiaba  por  encima  de  todo  la  seguridad  y  simplicidad.  Estaba  tan  seguro  de  su  trabajo  que  ofrecio  una 
recompensa  economica  a  quien  encontrara  fallos  en  su  software.  Hoy  en  dia  es  habitual  que  premien 
economicamente  a  los  que  encuentran  fallos  de  seguridad,  pero  por  entonces,  era  una  especie  de  osadia. 
Para  Bernstein  se  convirtio  en  su  garantia  de  seguridad.  Nunca  se  penso  que  pasarian  tantos  ahos  hasta 
que  alguien  pudiese  hacerse  con  el  premio. 

_  Rutkowska  y  su  equipo  publican  el  documento  tecnico  “Attacking  SMM  Memory  via  Intel  CPU 
Cache  Poisoning”.  System  Management  Mode  (SMM)  se  refiere  a  un  modo  de  operation  mas  privilegiado 
en  las  arquitecturas  x86.  El  SMM  podria  considerarse  el  Ring  -2.  SMM  se  ejecuta  en  la  zona  de  memoria 
conocida  como  SMRAM.  Se  supone  que  el  controlador  de  memoria  solo  debe  permitir  al  firmware  (la 
BIOS)  acceder  a  esa  zona  de  memoria.  Una  vez  que  la  BIOS  carga  en  esa  parte  el  SMM,  solo  el  codigo 
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que  este  en  ese  “anillo”  deberia  poder  acceder  a  el.  Lo  que  descubren  es  como  acceder  a  esa  zona,  bajar 
dos  niveles  desde  el  Ring  o  (a  traves  de  un  driver  en  el  sistema  Windows,  o  incluso  siendo  root  en  Linux) 
y  ejecutar  codigo  con  los  privilegios  de  SMM.  Con  todo  ese  poder,  una  vez  mas  y  como  ya  demostro  con 
Blue  Pill,  se  puede  crear  un  rootkit  indetectable.  Literalmente,  el  sistema  operativo  e  incluso  los  drivers, 
todo,  podria  estar  bajo  el  control  de  un  atacante  y  hacer  creer  una  total  “mentira”  al  sistema  basada  en  una 
ejecucion  de  codigo  capaz  de  controlar  al  mas  bajo  nivel  el  sistema. 

_  Guido  Landi  hace  publicos  (sin  previo  aviso)  los  detalles  de  una  vulnerabilidad  que  permite  la 
ejecucion  de  codigo  en  la  nueva  version  3.5  de  Mozilla  Firefox  con  solo  interpretar  un  archivo 
XML  especialmente  manipulado.  En  principio  la  prueba  de  concepto  publicada  hace  que  el  navegador 
deje  de  responder,  pero  es  posible  de  forma  relativamente  sencilla  modificar  el  exploit  para  que  permita 
la  ejecucion  de  codigo.  El  problema  afecta  a  todas  las  versiones  (actual  y  anteriores)  del  navegador  sobre 
cualquier  sistema  operativo.  Firefox  no  tarda  en  corregirlo. 

_  La  universidad  de  Toronto  publica  un  documento  de  investigation  sobre  GhostNet,  una  botnet 
concebida  para  un  objetivo  muy  concreto:  el  espionaje.  La  poblacion  de  GhostNet  es  de  solo  1.295  sistemas 
infectados,  pero  la  novedad  es  el  objetivo  politico  que  persigue. 

_  En  abril  se  habla  en  los  medios  de  que  los  malos  estan  pagando  hasta  25.000  euros  por  un  modelo 
antiguo  de  movil  Nokia  1100  (de  2003).  La  razon  es  que  dicen  que  contiene  un  error  que  permitiria 
interceptar  los  SMS,  y  poder  asi  eludir  la  seguridad  de  los  bancos  que  utilizan  este  metodo  para  validar 
transacciones.  El  tema  levanta  mucho  revuelo  pero  pronto  queda  en  el  olvido. 

_  En  mayo  se  descubre  una  vulnerabilidad  “como  las  de  antes”  en  Internet  Information  Server, 
el  servidor  web  de  Microsoft  y,  lo  peor,  aprovechando  fallos  y  problemas  que  parecian  pertenecer  ya  al 
pasado,  como  de  otro  tiempo.  El  fallo  dispara  el  numero  de  “desfiguraciones”  (defaces)  en  servidores  web 
con  IIS.  La  vulnerabilidad  combina  elementos  que  dieron  muchos  dolores  de  cabeza  a  Microsoft  a  finales 
de  los  90.  El  fallo  esta  en  IIS  6.x  a  la  hora  de  procesar  peticiones  HTTP  especialmente  manipuladas  con 
la  cabecera  “Translated”  y  con  caracteres  Unicode.  Un  atacante  podria  eludir  la  autenticacion  (y  subir 
ficheros  si  lo  permiten  los  permisos)  al  disparar  un  problema  de  validation  en  WebDAV.  En  IIS  5.x,  la 
vulnerabilidad  es  mas  grave.  Poco  despues  se  encontraria  una  nueva  vulnerabilidad  en  el  FTP  de  Microsoft 
IIS  5  que  permitia  la  ejecucion  de  codigo.  Mai  ano  para  IIS,  que  habia  conseguido  muchos  meses  de  relativa 
tranquilidad  en  cuestion  de  seguridad. 

_  A  pesar  de  que  en  la  ultima  macro -actualization  de  Mac  OS  X  corrige  67  vulnerabilidades,  Apple  deja 
sin  solucion  un  grave  problema  en  el  JRE  (Java  Runtime  Environment)  que  puede  ser  aprovechado 
por  atacantes  para  ejecutar  codigo  con  solo  visitar  una  pagina  web,  conocido  desde  agosto  de  2008. 

_  Tras  la  sucesion  de  graves  vulnerabilidades,  exploits  o  days  y  criticas  vertidas  hacia  la  politica  de 
seguridad  de  Adobe,  anuncia  que  en  agosto  comenzara  a  aplicar  un  ciclo  de  publicacion  de 
actualizaciones  de  seguridad  igual  al  de  Microsoft,  es  decir,  los  segundos  martes  de  cada  mes  y 
fuera  de  ese  ciclo  aquellas  que  por  su  importancia  o  gravedad  precisen  de  una  actuation  inmediata.  Se  ve 
obligada  a  sacar  parches  fuera  de  su  ciclo  nada  mas  empezar,  en  mayo  y  mas  tarde  en  julio. 

_  Otro  o  day  en  Microsoft  DirectX  golpea  a  Microsoft.  Poco  despues,  de  nuevo  se  descubriria  otro  en 
Microsoft  Office  Web  Component. 

_  Durante  el  verano,  el  Consejo  Nacional  Consultor  sobre  CyberSeguridad  (CNCCS)  apoya  la  iniciativa 
parlamentaria  que  propone  la  creation  del  Plan  Europeo  de  CyberSeguridad  en  la  Red,  una  organization 
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privada  que  tiene,  como  miembros  fundadores,  a  Panda  Security,  S2iSec,  Hispasec  Sistemas 
y  Secuware.  Poco  despues  el  Senado  la  aprueba  por  unanimidad.  La  mision  del  CNCCS  es  poner  a 
disposition  de  las  diversas  organizaciones  que  operan  en  Espana,  gubernamentales  o  no,  el  conocimiento 
y  experiencia  de  sus  miembros  en  asuntos  relacionados  con  la  cyberseguridad  nacional  o  global,  con  el  fin 
de  hacer  mas  segura  Internet  y  las  redes  de  Information,  a  la  vez  que 
potenciar  la  innovation  y  el  crecimiento  economico.  En  septiembre 
se  unirian  CNCCS:  Cybex,  Amper,  Telefonica,  TBSecurity,  Barcelona 
Digital  Centro  Tecnologico,  Universidad  de  Deusto  Laboratorio 
S3Lab,  Colegio  Oficial  de  Ingenieros  de  Telecomunicacion  (COIT)  y 
AEDEL. 


INI 

Consejo  Nacional  Consultivo  de  CyberSeguridad 

^noa 


_  Unos  investigadores  australianos  descubren  una  nueva  combination  de  metodos  para  provocar 
colisiones  en  el  algoritmo  de  hash  SHAi  de  forma  mucho  mas  rapida.  Solo  se  necesitarian  252 
intentos.  Esto  podria  resultar  en  ataques  practicos  posibles  a  este  sistema  de  hash.  A  principios  de  2005  un 
grupo  de  investigadores  chinos  consiguio  reducir  el  numero  de  intentos  para  acelerar  el  proceso  de  colision 
de  dos  mensajes  cualesquiera  a  269.  Poco  despues  se  avanzo  hasta  263.  El  departamento  de  algoritmos  y 
criptografia  de  la  Universidad  de  Macquarie  (Australia)  lo  reduce  a  una  complejidad  de  252. 

_  Adobe  reconoce  distrihuir  una  version  vulnerable  de  Adobe  Reader  desde  su  pagina  oficial. 
Confiaban  en  que  el  usuario  actualizase  mas  tarde,  una  vez  descargado  e  instalado. 

_  Tanto  Microsoft  como  Adobe  reconocen  solucionar  dos  fallos  que  se  convierten  en  o  day, 
pero  que  en  realidad  conocian  desde  2008.  Esto  es  una  practica  habitual,  pero  el  problema  en 
este  caso  es  que,  antes  de  solucionarlos,  otros  investigadores  con  no  muy  buenas  intenciones  acaban  por 
descubrirlos  tambien  y  aprovecharlos  en  beneficio  propio.  Esto  les  obliga  a  sacar  un  parche  con  mayor 
celeridad,  aunque  llevasen  meses  con  la  vulnerabilidad  “aparcada”. 

_  A  finales  de  agosto  se  optimiza  el  ataque  a  WPA  para  reducirlo  a  un  minuto.  Se  trata  de  un 
escenario  totalmente  teorico,  casi  irreal,  pero  mejora  el  tiempo  del  ataque  que  se  describio  el  ano  anterior 
sobre  WPA,  pero  que  necesitaba  de  unos  15  minutos  para  poder  introducir  con  exito  pequenos  paquetes 
falsos  en  el  trafico. 


_  Los  servidores  de  la  fundacion  Apache  presentan  durante  algunas  horas  una  escueta  pagina 
informando  que  se  encontraban  investigando  un  incidente  en  sus  servidores.  Aclaran  que  no  se  trata 
de  un  exploit  que  afectase  al  popular  servidor  web,  producto  de  la  propia  fundacion,  sino  de  una  Have 
SSH  comprometida.  La  Have  en  cuestion  permitia  el  acceso  a  una  cuenta  para  efectuar  copias  de  respaldo 
automaticas  del  sitio  web  “ApacheCon”,  en  una  maquina  situada  en  un  alojamiento  externo  a  la  fundacion. 
Esta  maquina  fue  usada  para  subir  archivos  a  un  servidor  de  su  infraestructura,  denominado  minotaur. 
apache.org,  con  funciones  notables,  como  proveer  de  cuentas  para  los  “comitters”  (cuentas  con  acceso  de 

escritura  a  los  repositories  de  codigo)  y  de  entrada  a  los  distintos  sitios 
A  p3  C  rl  ©  web  de  la  fundacion  Apache.  Apache  gestiona  el  fallo  de  forma  totalmente 

Software  Foundation  transparente,  admitiendo  errores  y  aciertos. 


The 


_  En  septiembre,  Laurent  Gaffie  detecta  un  fallo  de  seguridad  en  Windows  Vista  que  podria  permitir 
a  un  atacante  provocar  un  BSOD  (pantallazo  azul,  una  denegacion  de  servicio)  con  solo  enviar  algunos 
paquetes  de  red  manipulados  a  una  maquina  que  tenga  activos  los  servicios  de  comparticion  de  archivos 
(protocolo  SMB2).  El  fallo  (incomprensiblemente  simple)  esta  en  el  interprete  de  las  cabeceras  SMB, 
concretamente  en  el  driver  srv2.sys.  El  ataque  es  tan  sencillo  que  recuerda  a  los  “pings  de  la  muerte”  que 
hicieron  estragos  a  finales  de  los  90  en  los  sistemas  Windows.  Poco  despues  se  descubre  que  la  ejecucion 
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de  codigo  es  posible  y  se  hacen  publicos  varios  exploits. 

_  Cisco  y  Microsoft  publican  parche  para  la  vulnerabilidad  “Sockstress”,  revelada  en  octubre  de  2008. 
Son  los  primeros  de  una  larga  lista  de  fabricantes  que  se  ven  afectados  por  esta  vulnerabilidad. 

_  Hispasec  lanza  un  estudio  comparativo:  fcCuanto  tardan  los  grandes  fabricantes  de  software  en 
arreglar  una  vulnerabilidad?  Nos  preguntamos  cuanto  tardan  10  grandes  fabricantes  en  solucionar 
una  vulnerabilidad  cuando  no  sufren  la  presion  de  los  medios,  cuando  el  fallo  es  solo  conocido  por  ellos 
y  quien  la  ha  descubierto.  Como  reaccionan  ante  esta  situation  “ideal”  (desde  su  punto  de  vista),  en  la 
que  la  vulnerabilidad  les  ha  sido  comunicada  en  secreto,  y  ambas  partes  acuerdan  no  hacerlo  publico 
hasta  que  exista  una  solution.  Algunas  de  las  conclusiones  del  estudio  de  449  vulnerabilidades  son  que 
la  media  de  los  grandes  fabricantes  es  de  seis  meses  para  solucionar  una  vulnerabilidad, 
independientemente  de  su  gravedad.  Encontramos  ejemplos  en  los  que  una  vulnerabilidad  critica  es 
solucionada  un  ano  despues  de  ser  descubierta,  y  otros  en  los  que  se  tardan  apenas  unos  dias.  Todos  los 
datos  y  el  informe  completo,  estan  disponibles  de  forma  totalmente  gratuita  y  sin  necesidad  de  registro 
desde: 

http://www.hispasec.com/laboratorio/Hispasec_Estudio_Vulnerabilidades.pdf  ^ 


_  Se  celebra  con  exitola LaCon  2009,  su  segunda  edition.  Charlas  entretenidas,  interesantes,  novedosas... 
y  politicamente  incorrectas. 


_  Aparece  URLZone,  un  troyano  peculiar  que  abre  nuevas  tecnicas  innovadoras  en  el  mundo 
del  malware.  El  troyano  es  capaz  de  recordar  el  balance  anterior  de  su  victima,  y  falsearlo  en  la  cuenta 
una  vez  ha  sido  robado.  Asi,  el  usuario  no  percibe  que  esta  siendo  victima  de  fraude.  No  puede  detectar  la 
falta  de  dinero  en  su  cuenta  a  menos  que  analice  un  extracto  por  algun  otro  medio  que  no  sea  su  propio 
ordenador  troyanizado,  o  le  sea  devuelto  algun  recibo.  Ademas,  cuando  URLZone  detecta  que  no  esta  en 
su  botnet  “legitima”,  o  sea,  la  red  de  sistemas  infectados  que  reciben  ordenes  de  uno  o  varios  sistemas 
centrales,  modifica  su  comportamiento  para  eludir  a  los  investigadores.  Si  es  instalado  en  un  laboratorio,  y 
la  red  central  no  “conoce”  a  ese  sistema,  simulara  un  comportamiento  extrano,  en  el  que  toda  persona  que 
haya  recibido  dinero  de  la  cuenta  de  la  victima,  parecera  que  es  el  mulero  de  turno.  De  paso,  ocultan  asi  las 
cuentas  de  los  muleros  reales,  y  perseguir  el  dinero  se  convierte  en  una  tarea  todavia  mas  compleja. 


Una  al  dia 


11/02/2009  Por  que  el  92%  de  las  vulnerabilidades  criticas  en 
Windows  minimizarian  su  impacto  si  no  se  usase  la  cuenta  de 
administrador 

BeyondTrust  ha  emitido  un  escueto  informe  en  el  que  afirma  que  el  impacto  del  92%  de  las  vulnerabilidades 
criticas  en  Windows  se  minimizaria  si  no  se  usasen  los  privilegios  de  administrador.  El  uso  de  la  cuenta 
de  administrador,  como  ya  hemos  defendido  desde  aqui  en  otras  ocasiones,  es  uno  de  los  mas  graves 
problemas  con  los  que  se  enfrenta  Microsoft  y  que  el  propio  Windows  ha  ayudado  a  alimentar  con  versiones 
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anteriores.  Veremos  contra  que  tipo  de  vulnerabilidades  protege  el  principio  de  rninimo  privilegio  y  por 
que,  en  realidad,  el  informe  no  descubre  nada  nuevo:  el  principio  de  minimos  privilegios  es  una  regia  que 
siempre  ha  estado  ahi  para  todos  los  sistemas  operativos...  menos  para  los  de  Microsoft. 

BeyondTrust  ha  publicado  un  estudio  pormenorizado  de  todas  las  vulnerabilidades  publicadas  por 
Microsoft  en  2008.  Ha  concluido  que  el  92%  de  las  vulnerabilidades  criticas  y  el  69%  de  todas  (criticas  o 
no)  serian  menos  graves,  0  tendrian  un  impacto  mucho  menor,  si  fuesen  aprovechadas  por  un  atacante 
pero  la  victima  no  fuese  administrador.  Cuando  un  atacante  aprovecha  una  vulnerabilidad  de  ejecucion  de 
codigo  en  un  programa  que  esta  siendo  usado  por  un  administrador,  este  codigo  hereda  sus  permisos  y  el 
atacante  podra  campar  a  sus  anchas  (como  el  usuario)  en  el  sistema  una  vez  explotado  el  fallo.  En  un  92% 
de  los  casos,  segun  el  informe,  se  hubiese  limitado  considerablemente  la  gravedad  del  asunto. 

Desde  Hispasec  siempre  se  ha  recomendado  evitar  la  cuenta  administrador,  es  el  principal  consejo  para 
los  usuarios  de  sistemas  operativos  en  general  y  los  de  Windows  en  particular.  Esta  es  la  primera  capa  de 
seguridad  con  la  que  se  debe  proteger  un  usuario.  Un  “administrador”  esta  precisamente  para  “administrar”, 
y  son  muy  pocas  veces  las  que  un  usuario  utiliza  su  sistema  para  realizar  modificaciones  importantes.  La 
mayor  parte  del  tiempo  lee  correo  o  navega,  actividad  esta  ultima  que  conlleva  un  importante  riesgo,  sea 
con  el  navegador  que  sea.  Esta  irresponsable  actitud  de  usuario  administrador  perpetuo  esta  heredada 
de  los  tiempos  de  Windows  gx.  No  tenia  sistema  de  usuarios  local  real,  ni  soportaba  NTFS,  con  lo  que 
no  se  podian  establecer  permisos  por  usuarios.  Con  XP,  por  fin,  Microsoft  permitia  la  creation  de  un 
usuario  inicial  distinto  al  administrador  para  el  uso  del  sistema,  pero  lo  incluia  por  defecto  al  grupo 
administradores  y  por  tanto  no  lo  protegia  ni  limitaba  en  absoluto. 

El  otro  8% 

El  informe  no  explica  por  que  el  impacto  de  tantas  vulnerabilidades  es  susceptible  a  la  cuenta  bajo  la  que 
se  exploten.  tPor  que  no  nos  protege  del  100%  de  las  vulnerabilidades  criticas  el  hecho  de  trabajar  como 
usuario  sin  privilegios?  Pues  porque  el  resto,  el  8%  de  vulnerabilidades  se  pueden  clasificar  basicamente 
en  tres: 

*  Las  que  permiten  revelation  de  information.  Estas  suelen  ser  independientes  del  usuario  bajo  el  que  se 
explota  la  vulnerabilidad. 

*  Las  que  afectan  a  servicios  de  sistema  que  corren  siempre  bajo  cuentas  privilegiadas.  Los  servicios 
especiales  de  sistema  corren  normalmente  bajo  la  cuenta  SYSTEM.  Si  un  atacante  aprovecha  un  fallo  en 
estos  servicios  desde  el  exterior,  no  hay  nada  que  el  usuario  pueda  hacer  para  evitarlo  excepto  intentar 
precisamente  que  el  servicio  no  este  accesible  para  cualquiera.  Hay  que  recordar  que  ya  hicieron  un 
trabajo  importante  de  limitation  de  cuentas  de  servicio  cuando  aparecio  XP.  En  2000  todos  los  servicios 
trabajaban  con  los  maximos  privilegios.  En  XP  y  2003,  no. 

*  Las  elevaciones  de  privilegios.  Evidentemente,  este  tipo  de  vulnerabilidades  permiten  precisamente 
saltar  de  una  cuenta  sin  privilegios  a  otra  con  mayor  capacidad  de  actuation  sobre  el  sistema.  Si  se 
trabaja  con  cuenta  limitada,  es  una  de  las  mayores  preocupaciones.  Si  se  trabaja  como  administrador, 
estas  vulnerabilidades  no  suelen  tienen  impacto  (excepto  si  logran  privilegios  de  SYSTEM,  ligeramente 
superiores  a  los  del  propio  Administrador).  Hoy  en  dia,  las  vulnerabilidades  de  elevation  de  privilegios  son 
poco  valoradas  por  los  atacantes  (en  especial  los  creadores  de  malware)  porque  presuponen  (y  presuponen 
bien)  que  su  victima  sera  administrador. 

^Windows  un  92%  mas  seguro? 
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Significa  que  el  trabajar  con  cuentas  con  privilegios  menos  elevados  ayudaria  a  que  el  sistema  fuese  un 
92%  mas  seguro?  Desgraciadamente  no,  pero  sin  duda  ayudaria. 

Trabajar  como  usuario  con  pocos  privilegios  no  es  la  panacea.  Trabajar  como  usuario  raso  en  XP  0  2000 
con  cierto  software  puede  llegar  a  ser  incomodo,  incluso  para  usuarios  experimentados  (y  casi  siempre 
esto  es  responsabilidad  de  los  propios  programadores,  que  no  suelen  tenerlo  en  cuenta).  Es  necesario  tener 
conocimientos  sobre  permisos,  privilegios,  NTFS,  derechos,  herencias,  grupos...  Por  si  fuera  poco,  con 
animo  de  no  complicar  al  usuario,  Windows  XP  Home  Edition  esconde  deliberadamente  la  pestana  de 
seguridad  para  poder  cambiar  los  permisos,  a  no  ser  que  se  trabajara  en  modo  a  prueba  de  fallos.  En  otros 
sistemas  operativos  resulta  mas  sencillo,  porque  los  programadores  siempre  han  supuesto  que  su  usuario 
no  iba  a  gozar  de  todos  los  permisos. 

El  problema  es,  como  de  costumbre,  la  education  del  usuario  ante  una  estructura  tan  compleja  como  hoy 
en  dia  es  un  sistema  operativo.  Estamos  tan  mal  acostumbrados  que  si  un  usuario  de  cualquier  sistema 
operativo  (distinto  a  Windows)  se  convierte  en  victima  del  exploit  de  una  vulnerabilidad,  y  por  ello  el 
sistema  queda  totalmente  comprometido,  lo  primero  que  preguntamos  es  si  estaba  trabajando  como  root. 
Si  es  asi,  inmediatamente  la  mayor  parte  de  la  responsabilidad  cae  del  lado  del  usuario  (abstrayendonos 
de  la  responsabilidad  del  software).  Se  entiende  como  una  especie  de  castigo  justo  por  no  conocer  y  limitar 
convenientemente  su  entorno  de  trabajo,  o  por  despiste.  En  Windows,  si  un  usuario  es  victima  de  un 
malware  que  se  le  ha  colado  a  traves  del  navegador,  y  esta  victima  trabaja  como  administrador  (lo  mas 
habitual)  el  problema  se  achaca  directamente  al  sistema  operativo  o  al  navegador  y  sus  continuos  fallos.  No 
solemos  pararnos  a  pensar  en  que  el  usuario,  tampoco  en  este  caso,  conoce  realmente  su  entorno  de  trabajo 
o  no  se  le  han  proporcionado  la  facilidades  para  hacerlo,  y  por  eso  no  lo  ha  limitado  convenientemente. 
Limitandolo,  si  bien  no  se  reduciria  el  numero  de  fallos,  si  se  degradara  considerablemente  su  impacto, 
como  bien  recuerda  el  informe. 

Sergio  de  los  Santos 


18/03/2009  Antivirus  y  falsos  positivos...  un  desmadre 

A  Fred  Cohen  se  le  conoce  como  el  padre  de  los  “virus  informaticos”,  por  ser  el  primero  en  acunar  este 
termino  en  la  decada  de  los  80  para  describir  a  estos  programas.  Ademas  de  bautizarlos  y  analizarlos, 
en  su  estudio  “Computer  Viruses  -  Theory  and  Experiments”  llegaba  a  la  conclusion  de  que  no  existia 
algor itmo  que  pudiera  detectar  todos  los  posibles  virus.  Cuando  ahora  se  cumplen  25  anos  de  su  estudio 
podemos  decir  que  Cohen  tenia  razon  y  que,  ademas,  vamos  a  peor.  Vale  que  no  podamos  detectar  todo  el 
malware  pero,  por  favor,  no  detectemos  a  los  que  no  lo  son. 

A  lo  largo  de  toda  la  historia  del  malware  (los  virus  tienen  menos  de  30  anos,  lo  que  nos  quedara  aun  por 
ver)  las  conclusiones  de  Cohen  han  pesado  como  una  losa.  A  diferencia  de  hace  unos  anos,  donde  todavia 
existia  publicidad  enganosa  con  aquello  de  “100%  contra  virus  conocidos  y  desconocidos”,  a  dia  de  hoy 
quien  mas  y  quien  menos  no  le  queda  mas  remedio  que  esconder  sus  vergiienzas.  Todos  asumimos  que  los 
antivirus  son  otra  capa  de  seguridad  que  pueden  minimizar  nuestra  ventana  de  amenazas,  pero  que  en 
ultima  instancia  siempre  estamos  expuestos  a  sufrir  una  infection. 

Esa  conciencia  sobre  las  limitaciones  de  las  soluciones  de  seguridad  y  la  exposition  al  riesgo  es  buena  y 
deseable,  porque  permite  educarnos  en  un  uso  mas  profilactico  de  la  informatica,  aplicando  mas  capas 
de  seguridad  adicionales  o  simplemente  mejorando  nuestros  habitos  diarios.  De  modo  que  es  bueno 
que  seamos  conscientes  de  que  nuestro  antivirus  solo  nos  protege  contra  el  80%  de  las  amenazas  que 
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potencialmente  podemos  recibir,  quien  dice  80%  puede  decir  65%,  o  50%...  pero  bueno,  al  fin  y  al  cabo, 
nos  esta  protegiendo. 

f.Realmente  los  porcentajes  de  detection  pueden  llegar  a  ser  tan  bajos?  No,  segun  el  caso  pueden  ser  aun 
peor.  En  los  ultimos  tiempos  existe  un  problema  de  escalabilidad  en  la  detection  de  malware,  simple  y 
llanamente,  los  laboratories  antivirus  no  dan  a  basto  con  la  production  actual  de  bichos  nuevos.  Si  en 
febrero  de  2004  podiamos  leer  en  el  recien  estrenado  blog  de  F-Secure:  “Dos  nuevas  variantes  de  Bagle 
han  sido  avistadas.  Otra  vez.  Parece  que  tendremos  un  fin  de  semana  ocupado”,  c,que  tendrian  que  decir 
hoy  en  cualquier  laboratorio  antivirus  donde  se  reciben  a  diario  miles  de  nuevas  variantes  de  malware?. 

Esta  claro  que  la  option  de  escalar  el  problema  aplicando  a  los  metodos  de  analisis  tradicionales  una 
regia  de  tres  no  es  buena,  si  se  han  multiplicando  por  miles  los  especimenes  diarios  que  puede  recibir 
un  laboratorio  la  solution  no  es  multiplicar  por  mil  los  analistas.  Entre  otras  cosas  porque  el  negocio  de 
los  antivirus  dejaria  de  ser  rentable.  Asi  que  ahora  se  trabaja  mucho  en  la  automatization  de  analisis  y 
heuristicas  para  aumentar  los  ratios  de  detection.  El  efecto  secundario  de  esta  automatization  y  heuristicas 
mas  agresivas  es  que  los  antivirus  tienen  un  mayor  numero  de  falsos  positivos,  es  decir,  se  equivocan  mas 
al  detectar  como  malware  algo  que  en  realidad  no  lo  es. 

Esta  problematica,  lejos  de  ser  una  anecdota,  es  cada  vez  mas  preocupante.  Ya  la  hemos  tratado  en  una-al- 
dia  anteriormente,  y  vamos  a  peor.  En  Hispasec  recibimos  dia  si,  dia  tambien,  mensajes  de  desarrolladores 
preguntando  o  quejandose  de  que  los  antivirus  de  VirusTotal  estan  detectando  como  malware  su  software 
legitimo,  con  las  interferencias  y  problemas  que  ello  les  causa  ante  sus  clientes  y  su  reputation  global. 
Nosotros  mismos  hemos  sufrido  en  propias  carnes  que  VTuploader,  la  herramienta  para  enviar  ficheros 
a  VirusTotal,  fuera  detectada  hace  unas  semanas,  teniendo  que  solicitar  la  correction  de  las  firmas  a  los 
antivirus  implicados. 

Algo  esta  fallando  en  los  antivirus  cuando,  incluso,  estan  aumentando  los  falsos  positivos  con  los  propios 
ficheros  legitimos  de  Windows.  Se  supone  que  comprobar  la  no  detection  de  componentes  de  Windows 
debe  ser  la  medida  mas  basica  de  control  de  calidad  antes  de  publicar  una  nueva  actualization. 

Estamos  ante  una  carrera  loca  por  ver  quien  detecta  mayor  numero  y  mas  rapido  (de  lo  que  sea),  y  nos 
estamos  olvidando  de  que,  ante  todo,  un  antivirus  no  deberia  molestar  ni  interferir  (demasiado)  en  el 
normal  funcionamiento  de  los  sistemas  y  los  programas  legitimos.  Un  usuario  0  una  empresa  puede  llegar 
a  entender  que  un  antivirus  no  detecte  todos  los  virus  del  mundo,  incluso  que  se  le  cuele  alguno  que  otro, 
pero  dificilmente  podra  aceptar  que  el  antivirus  le  cuelgue  el  ordenador,  borre  ejecutables  que  no  debe,  o 
impida  la  ejecucion  de  una  aplicacion  corporativa. 

No  todo  vale  para  detectar  mas.  Estamos  perdiendo  el  foco.  Es  un  desmadre. 

Bernardo  Quintero 


25/03/2009  Routers,  modems  y  botnets 

Desde  hace  unas  semanas  DroneBL  ha  sufrido  un  ataque  distribuido  de  denegacion  de  servicio  procedente 
de  una  botnet  llamada  ‘psybot’.  Nada  nuevo  si  tenemos  en  cuenta  que  DroneBL  ofrece  un  servicio  gratuito 
de  publication  de  listas  negras  de  IP  en  tiempo  real,  lo  cual  no  es  precisamente  una  manera  de  ganarse 
admiradores  entre  las  filas  de  creadores  de  malware,  spammers,  etc.  Lo  interesante  del  asunto  se  lo 
encontraron  cuando  recabaron  information  sobre  su  atacante. 
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El  gusano  que  teje  ‘psybot’  no  tiene  como  objetivo  los  ordenadores  personales  o  servidores.  El  binario 
ni  tan  siquiera  esta  compilado  para  la  omnipresente  arquitectura  x86.  Su  foco  de  infection  se  encuentra 
en  los  routers  y  modems  ADSL  con  Linux  y  procesador  MIPS.  El  gusano  efectua  un  barrido  por  rangos 
de  IP  escaneando  los  puertos  22,  23  y  el  80,  buscando  una  vulnerabilidad  que  expone  la  administracion 
remota  del  dispositivo  a  traves  de  telnet,  ssh  e  interfaz  web  inclusive  con  los  permisos  por  defecto.  Si  la 
configuration  ha  sido  modificada,  lo  intentara  por  fuerza  bruta. 

Tras  obtener  una  shell  con  permisos  de  administrador  borra  el  archivo  ‘/var/tmp/udhcpc.env’  que  pertenece 
al  cliente  DHCP  y  comprueba  la  existencia  del  comando  wget  para  efectuar  la  descarga  de  una  replica  del 
gusano  con  el  mismo  nombre  y  ruta  que  el  archivo  borrado.  Tras  ello  inyecta  reglas  en  iptables  para  cerrar 
la  entrada  en  los  puertos  22, 23  y  80  y  asi  evitar  su  apertura  licita  y  reinfection.  Una  vez  infectado,  el  nuevo 
nodo,  conecta  a  un  servidor  IRC  donde  procesa  el  topic  que  contiene  instrucciones  para  los  bots. 

Aunque  el  primer  contacto  con  esta  botnet  fue  documentado  por  un  tal  Terry  Baume  en  enero  de  este 
ano,  parece  ser  que  este  es  el  primer  ataque  a  gran  escala  0  el  incidente  que  ha  tenido  mayor  repercusion 
mediatica  hasta  el  momento.  Varios  son  los  factores  que  no  pasaron  por  alto  los  creadores  de  ‘psybot’, 
un  vector  facil,  contrasenas  por  defecto  y  exposition  de  la  administracion  remota,  una  presa  descuidada, 
como  un  olvidado  router  con  el  que  no  se  interactua  y  se  mantiene  encendido  las  24  horas,  y  sobre  todo  el 
silencio:  iCuando  fue  la  ultima  vez  que  monitorizaste  el  trafico  del  router? 

David  Garcia 


02/04/2009  Exitos  y  fracasos  de  Conficker 

Si  algo  ha  conseguido  Conficker,  es  generar  expectation  mediatica  (incluso  que  le  dediquemos  varias  una- 
al-dia).  Alentado  por  las  casas  antivirus,  que  no  pasan  por  su  mejor  momento  en  nivel  de  detection  global, 
Conficker  ha  servido  para  recordar  al  mundo  que  existen  todavia  amenazas  globales  en  forma  de  malware 
con  nombre  y  apellido.  Conficker,  cabeza  de  turco  frente  a  otros  tipos  de  malware  anonimos  y  mucho  mas 
peligrosos,  ha  gozado  de  algunos  exitos  rotundos,  tanto  mediaticos  como  tecnicos  que  vamos  a  repasar. 

Exitos  mediaticos 

*  Poco  queda  del  Conficker  original  que  aparecio  en  noviembre.  Se  ha  convertido,  como  todo  malware  2.0 
que  se  precie,  en  una  sofisticada  red  de  sistemas  y  servidores,  como  ocurrio  con  el  Storm  Worm.  Alguien 
a  quien  senalar  con  el  dedo  y  que  recuerde  al  publico  (consumidor  de  software)  que  las  casas  antivirus 
siguen  ahi.  El  miedo  incita  a  protegerse. 

*  Conficker  se  ha  centrado,  durante  mucho  tiempo,  mas  en  la  expansion  que  en  el  ataque.  Se  ha  dedicado 
a  recopilar  maquinas  infectadas  sin  un  fin  concreto  (al  menos  que  conozcamos  por  ahora).  Este  pequeno 
misterio  ha  atraido  la  atencion  de  las  casas  antivirus,  y  por  tanto  de  los  medios. 

*  El  exito  incluso  le  ha  llegado  de  formas  muy  retorcidas.  La  proliferation  de  programas  legitimos  y 
especificos  para  desinfectar  el  sistema  ha  plagado  las  primeras  busquedas  de  Google  de  software  falso.  Es 
facil  encontrar  con  cualquier  buscador,  malware  que  dice  ser  un  limpiador  de  Conficker. 

*  Establecer  una  fecha  de  apocalipsis  vende  mucho.  Como  hicieran  el  virus  Viernes  13,  Michelangelo... 
recuerda  viejos  tiempos,  siempre  mejores  para  las  casas  antivirus.  Se  dijo  que  el  1  de  abril  Conficker  se 
activaria  y  colapsaria  muchas  webs.  Nada  ha  ocurrido,  como  era  de  esperar.  Es  imposible  que  algo  que 
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genera  tanta  expectation  cause  un  gran  impacto.  La  gente  tiende  a  prepararse  para  mitigar  el  ataque. 
Cuando  algo  viene  por  sorpresa,  cuando  no  hay  fecha  establecida,  es  cuando  el  impacto  se  puede  considerar 
verdaderamente  serio. 

Exitos  tecnicos 

*  El  mayor  exito  de  expansion  de  Conficker  ha  sido  a  traves  de  las  memorias  USB.  Pero  no  solo  el  hecho  de 
adoptar  esa  estrategia,  sino  como  lo  ha  hecho.  Por  primera  vez,  creo  un  archivo  autorun.ini  funcional  pero 
disimulado  con  basura,  que  conseguia  pasar  desapercibido.  Logro  saltarse  los  metodos  basicos  de  bloqueo 
de  autoejecucion  de  Windows. 

*  Siguiendo  con  el  autorun,  pudo  disimular  su  ejecucion  mostrandose  como  la  exploration  de  carpetas.  Es 
un  engano  muy  conseguido.  El  uso  de  contrasenas  por  defecto  tambien  proporciono  numerosas  alegrias 
a  los  atacantes. 

*  Uno  de  los  exitos  tecnicos  mas  curiosos  ha  sido  el  uso  de  miles  de  dominios.  El  malware  actual  suele 
contener  un  algoritmo  interno  para  generar  dominios  aleatorios  (que  probablemente  no  existen),  desde 
donde  descargaran  nuevas  funcionalidades.  Los  atacantes  compran  los  dominios  y  cuelgan  en  ellos 
la  actualizaciones  para  que  el  malware  saiga  a  buscarlas  cuando  los  genere  internamente.  Cuando  un 
laboratorio  consigue  descifrar  ese  algoritmo  de  generation,  suele  adelantarse  a  los  atacantes  y  registrar 
ellos  mismos  esos  dominios.  Asi  podemos  saber,  segun  las  visitas  que  reciba  el  dominio,  el  numero  de 
infectados.  Normalmente  el  malware  genera  un  numero  manejable  de  dominios  cada  dia,  y  los  atacantes 
registran  solo  algunos.  Aunque  se  descifro  el  algoritmo  de  generation  de  dominios  de  Conficker,  este  paso 
a  generar  50.000  dominios  aleatorios  (de  4  a  9  letras)  al  dia.  Tanto  dominio,  por  supuesto  haria  que 
muchos  de  los  generados  coincidiesen  con  dominios  ya  registrados  y  legitimos  que  todos  los  sistemas 
infectados  visitarian.  Los  medios  advirtieron  que  Internet  se  colapsaria  por  esta  razon  el  1  de  abril. 

Fracasos  tecnicos 

*  Pocos.  Practicamente  su  unico  problema  ha  sido  la  detection.  Toda  version  conocida  de  Conficker  es 
detectada  normalmente  por  mas  del  90%  de  los  motores  que  alojamos  en  VirusTotal.  Las  casas  se  han 
volcado  con  el  y  lo  detectan  casi  unanimemente.  Es  por  eso  que  Conficker,  aunque  interesante,  pasa 
automaticamente  a  ser  una  amenaza  de  mucho  menos  calibre.  tQue  hubiera  pasado  si  a  pesar  de  toda 
esa  cobertura  mediatica,  los  niveles  de  detection  fuesen  bajos?  No  es  posible  esta  combination.  Cuanto 
mas  se  hable  de  un  malware,  mas  detectado  es.  La  pregunta  es  que  hubiera  ocurrido  sin  esta  cobertura 
mediatica.  La  respuesta  es  que  los  niveles  de  detection  hubieran  sido  mucho  menores,  y  la  infection 
mucho  mas  discreta  y  mayor.  En  otras  palabras,  lo  mismo  que  esta  ocurriendo  ya  con  el  resto  del  malware 
industrial,  mucho  mas  abundante,  que  se  crea  hoy  en  dia.  Los  verdaderamente  peligrosos  que  no  aparecen 
en  titulares. 

Porque,  tque  puede  resultar  mas  peligroso?,  este  ejemplar: 
http://www.virustotal.com/analisis/963521ca26f84db93146fob7891dof1f 
o  este: 

http://www.virustotal.com/analisis/07cd5b586a82487949ba18do3bdab8c7 

El  primero  es  un  Conficker  detectado  por  el  95%  de  los  motores.  El  segundo  es  un  troyano  especialmente 


Una  al  dia.  Once  anos  de  seguridad  informatica  -  2009  - 


297 


destinado  al  robo  de  contrasenas,  que  lleva  mas  de  un  mes  en  nuestra  base  de  datos.  En  ningun  momento 
ha  sido  detectado  por  mas  de  dos  motores. 

Conhcker  es  peligroso,  no  cabe  duda,  es  una  grave  plaga  que  hay  que  combatir.  Pero  no  es  el  unico  malware 
contra  el  que  se  debe  luchar. 

Sergio  de  los  Santos 


21/06/2009  Protegiendonos  de  las  soluciones  de  seguridad 

Acabo  de  recibir  un  mensaje  de  una  gran  consultora,  de  esas  que  hacen  estudios  basandose  en  estadlsticas 
tras  recopilar  la  opinion  de  terceros  supuestamente  expertos.  Muy  amables,  solicitan  corrija  una  errata  en 
una  de  las  respuestas  que  rellene  en  su  cuestionario.  La  pregunta  pedia  que,  segun  mi  criterio,  enumerara 
el  top  10  de  amenazas  de  seguridad  a  las  que  se  deberian  enfrentar  las  empresas  a  corto  y  medio  plazo.  La 
respuesta  que  suponen  una  errata  es:  las  soluciones  de  seguridad. 

Supongo  que  la  mayoria  estamos  de  acuerdo  en  que,  en  casos  puntuales,  una  solucion  de  seguridad  puede 
introducir  nuevas  amenazas,  bien  por  mal  funcionamiento  en  sus  funciones  de  proteccion,  bien  por  nuevas 
vulnerabilidades  que  se  derivan  del  propio  producto  o  servicio  de  seguridad.  No  obstante,  incluir  esa 
remota  y  puntual  posibilidad  en  un  top  10  de  amenazas  no  es  muy  acertado.  Asi  que  entono  el  mea  culpa 
por  una  mala  description  de  lo  que  queria  decir  (tampoco  habia  mucho  espacio  en  el  campo  de  texto  libre 
del  cuestionario),  y  les  voy  a  enviar  la  rectification:  marketing  falso  en  soluciones  de  seguridad. 

En  su  dia  me  molestaba  mucho  leer  el  eslogan  de  “100%  de  proteccion  contra  virus”,  una  herencia  de 
aquella  molestia  se  puede  encontrar  aun  hoy  dia  en  el  aviso  que  escribi  hace  5  anos  en  la  web  de  VirusTotal: 
“No  existe  solucion  en  el  mundo  que  pueda  ofrecer  un  100%  de  efectividad  en  el  reconocimiento  de  virus  y 
malware  en  general.  Si  le  ofrecen  un  producto  con  el  100%  de  efectividad,  esta  siendo  victima  de  publicidad 
falsa.”.  Afortunadamente  el  marketing  de  los  antivirus  ha  evolucionado  y  ya  nadie  se  atreve  a  decir  nada 
parecido. 

Sin  embargo,  en  terminos  generales,  el  marketing  en  las  soluciones  de  seguridad  sigue  siendo  poco  honesto, 
tanto  con  el  usuario  final  como  con  el  cliente  corporativo.  Un  buen  momento  que  tengo  para  ahanzar  esa 
sensacion  es  cuando  presento  los  resultados  de  auditorias  y  test  de  penetration  a  clientes  corporativos. 
Es  entonces  cuando  escucho  frases  como:  “pero  el  vendedor  nos  dijo  que  este  sistema  de  prevention  de 
intrusiones  evitaba  cualquier  tipo  de  inyeccion”,  “no  puede  ser,  el  portatil  tiene  un  sistema  de  cifrado  y  nos 
dijeron  que  era  imposible  extraer  ninguna  information”,  etc. 

Ya  sabemos  que  cualquier  solucion  de  seguridad  que  nos  ofrezcan,  u  ofrezcamos,  no  es  perfecta.  Asi  que  el 
vender  las  soluciones  de  seguridad  exagerando  sus  virtudes  y  omitiendo  sus  debilidades  podria  entenderse 
como  picaresca,  parte  del  juego  entre  vendedor- comprador.  Pero  los  efectos  en  realidad  son  mucho  mas 
perniciosos  que  el  del  anuncio  del  detergente  que  nos  asegura  que  lava  mas  bianco  que  ninguno,  porque 
puede  llegar  a  crear  una  falsa  sensacion  de  seguridad  en  el  comprador  y  las  consecuencias  pueden  ser 
desastrosas  para  la  empresa. 

No  se  trata  simplemente  de  que  el  comprador  haya  adquirido  una  solucion  que  no  es  la  mejor  de  su  categoria, 
como  ocurre  en  el  caso  del  detergente,  sino  que  probablemente  no  le  hayan  explicado  las  limitaciones  de 
esa  tecnologia  y  de  la  que  adolece  cualquier  otro  producto  de  la  misma  categoria.  El  resultado  es  que  el 
comprador  no  entendera  la  necesidad  de  anadir  capas  adicionales  de  seguridad  para  proteger  sus  activos, 
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una  verdad  que  en  el  mejor  de  los  casos  descubrira  durante  una  auditoria  o  test  de  penetracion,  y  en  el  peor 
de  los  escenarios  ya  serla  demasiado  tarde. 

Mi  humilde  consejo:  cuando  intenten  venderle  una  tecnologia  o  solucion  de  seguridad,  desconfie  de 
cualquier  presentacion  que  no  incluya  explicitamente  una  descripcion  de  sus  debilidades  o  limitaciones. 

Bernardo  Quintero 
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Una  al  dia 

Once  anos  de  seguridad  informatica 


Sergio  de  los  Santos 
Diseno:  Alberto  Garcia 


Anuario  ilustrado  de  seguridad  informatica,  anecdotas  y 
entrevistas  exclusivas...  Casi  todo  lo  que  ha  ocurrido  en 
seguridad  en  los  ultimos  once  anos,  esta  dentro  de  "Una  al 
dia:  11  anos  de  seguridad  informatica". 


Para  celebrar  los  once  anos  ininterrumpidos  del  boletin  Una 
al  dia,  hemos  realizado  un  recorrido  por  toda  una  decada  de 
virus,  vulnerabilidades,  fraudes,  alertas,  y  reflexiones  sobre 
la  seguridad  en  Internet.  Desde  una  perspectiva  amena  y 
entretenida  y  con  un  diseno  sencillo  y  directo. 

Los  11  anos  de  Una  al  dia  sirven  de  excusa  para  un  libro  que 
esta  compuesto  por  material  nuevo,  revisado  y  redactado 
desde  la  perspectiva  del  tiempo.  Ademas  de  las  entrevistas 
exclusivas  y  las  anecdotas  propias  de  Hispasec. 


Incluye  entrevistas  exclusivas  a  los  personajes  relevantes  de 
cada  momento  en  el  mundo  de  la  seguridad:  Bruce  Schneier, 
Eugene  Kaspersky,  Cuartango,  Mikel  Urizarbarrena,  Jorge 
Ramio,  Johannes  Ullrich...  Ademas  de  noticias  y  anecdotas 
relevantes  de  cada  ano,  fuera  del  ambito  de  la  seguridad 
informatica.  Por  ultimo,  se  han  reproducido  algunas  de  las 
mejores  Una  al  dia  de  todos  los  tiempos,  las  que  mejor 
reflejan  el  estado  de  la  seguridad  en  el  momento  en  el  que 
fueron  redactadas. 


Segundad  y  Tecnologias  de  la  Informacion 


£ 


www.hispasec.com 
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